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人 们 常用 “硬盘 有 价 、 数 据 无 价 ”来 形容 存储 在 外 存储 器 中 数据 的 重要 性 。 但 
是 由 于 各 种 原因 (如 : 计算 机 病毒 的 破坏 ,用 户 误 Ghost、 误 删除 文件 、 误 分 区 、 误 
格式 化 ,外 存储 器 物理 损坏 或 者 其 他 原因 等 ), 导 致 存储 在 外 存储 器 中 数据 丢失 的 
现象 时 有 发 生 。 

当 数 据 丢 失 后 ,能 否 很 好 地 保护 现场 ,并 找 回 丢失 的 数据 就 显得 十 分 重要 。 
于 是 “数据 恢复 ”这 个 在 国外 已 经 使 用 了 二 十 多 年 ,而 在 国内 却 鲜 为 人 知 的 名 词 和 
技术 也 逐渐 被 国人 所 接触 和 使 用 。 与 此 同时 ,国内 一 些 出 版 社 已 出 版 了 有 关 数 据 
恢复 方面 的 书籍 。 这 些 书 籍 从 不 同 的 角度 讲解 了 数据 恢复 的 一 些 基本 理论 ,方法 
和 步 又。 但 是 “数据 恢复 "要 想 走 进 高 校 课堂 并 成 为 计算 机 相关 专业 的 课程 仍然 
还 有 很 长 的 路 要 走 。 

为 此 ,经 作者 长 时 间 的 思考 ,认为 有 必要 撰写 一 本 有 关 “ 数 据 恢复 ”的 书籍 ,以 
满足 高 校 开设 该 课程 的 需要 。 如 何 撰写 ? 根据 作者 长 期 的 教学 、 实 践 经 验 , 只 有 
理论 与 实践 相 结合 的 书籍 才 最 受 读 者 欢迎 。 因 此 ,本 书 在 撰写 过 程 中 ,始终 坚持 
硬盘 分 区 与 文件 系统 的 基本 理论 和 数据 恢复 的 实践 紧密 结合 的 原则 。 本 书 中 所 
列举 的 每 一 个 实例 均 能 够 找到 相应 的 实践 素材 ,读者 在 阅读 本 书 过 程 中 ,可 以 按 
本 书 中 的 实例 边 阅读 、 边 操作 ,这 样 可 以 在 较 短 的 时 间 内 ,加 深 对 硬盘 分 区 、 文 件 
系统 基本 理论 的 理解 与 掌握 ,本 书 为 读者 开展 数据 恢复 工作 提供 了 强 有 力 的 理论 
依据 ; 通过 数据 恢复 案例 ,不 仅 增强 了 读者 的 实际 动手 能 力 ,而 且 提 升 了 读者 的 
操作 技能 。 

俗话 说 “ 树 有 根 、 水 有 源 ”, 任 何 形式 的 数据 丢失 ,都 有 其 原因 所 在 ,只 有 找到 
数据 丢失 的 真正 原因 ,才能 对 症 下 药 ,快速 恢复 所 需 数据 。 通 过 本 书 的 学 习 , 读 者 
不 仅 能 够 掌握 数据 存储 的 基本 结构 、 硬 盘 分 区 和 文件 系统 的 基本 原理 ,而 且 还 能 
以 该 原理 为 基础 来 查找 数据 丢失 的 真正 原因 ,在 较 短 的 时 间 内 制订 数据 恢复 方 
案 、 以 最 好 的 方式 恢复 丢失 的 数据 。 

如 果 你 是 一 位 数据 恢复 的 初学 者 ,本 书 将 带 你 步 入 数据 恢复 领域 的 殿堂 ,为 
你 揭示 数据 存储 、 硬 盘 分 区 以 及 文件 系统 的 神秘 面纱 ,让 你 找到 数据 丢失 的 真正 
原因 并 制订 出 最 佳 的 数据 恢复 方案 ,最 终 恢复 所 需 数据 。 如 果 你 已 经 是 一 位 数据 
恢复 的 能 手 ,本 书 同样 可 以 带 来 让 你 万 分 惊喜 的 一 些 经 验 与 技巧 。 

如 果 你 使 用 的 计算 机 操作 系统 是 Windows 7, 你 可 以 将 本 书 所 提供 的 素材 复 
制 到 计算 机 的 硬盘 上 ,使 用 Windows 7 操作 系统 计算 机 管理 中 的 硬盘 管理 功能 
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将 素材 文件 附加 成 为 虚拟 硬盘 , 即 可 按 本 书 的 章节 来 研究 学 习 。 

如 果 你 使 用 的 计算 机 操作 系统 是 Windows XP, 可 以 下 载 并 安装 虚拟 磁盘 管理 软件 (如 
InsPro Disk v2. 0) ,将 本 书 所 提供 的 素材 复制 到 计算 机 的 硬盘 上 ,并 将 素材 文件 的 扩展 名 
“. vhd" 改 为 “.hdd”, 使 用 虚拟 磁盘 管理 软件 将 素材 文件 加 载 成 为 虚拟 硬盘 ,同样 也 可 以 按 本 
书 的 章节 来 研究 学 习 。 

全 书 共 分 为 7 章 , 第 1 一 3 章 介绍 了 数据 恢复 的 基本 概念 .硬盘 相关 知识 、 虚 拟 硬 盘 工具 与 
磁盘 编辑 软件 WinHex 的 使 用 等 。 第 4 章 以 实例 的 形式 详细 讲解 了 MBR 分 区 与 GPT 分 区 
的 存储 形式 和 管理 方式 等 ; 第 5 章 以 实例 的 形式 详细 讲解 了 FAT32 文件 系统 整体 布局 文件 
及 文件 夹 的 管理 方式 等 ; 第 6 章 以 实例 的 形式 详细 讲解 了 NTFS 文件 系统 整体 布局 .元 文件 
的 作用 、NTFS 对 索引 目录 的 管理 等 ; 第 7 章 以 实例 和 案例 的 形式 介绍 了 数据 恢复 的 基本 思 
路 \ 方 法 与 步骤 。 

每 章 后 均 有 大 量 的 思考 题 ,读者 通过 每 章 的 学 习 并 完成 每 章 思 考题 后 ,不 仅 可 加 深 对 每 章 
知识 的 理解 与 掌握 ,而 且 增 强 了 实际 动手 能 力 和 解决 实际 问题 的 能 力 。 

第 1—7 章 、 各 章 思 考题 、 第 3 一 7 章 所 需 素 材 \ 思 考题 所 需 素材 和 思考 题 参 考 答案 由 陈 培 
德 老师 完成 ; 云南 大 学 图 书馆 殷 莉 芬 老师 、 云 南大 学 信息 学 院 刘 洪涛 老师 对 本 书 进行 了 部 分 
排版 及 校对 工作 ; 全 书 由 陈 培 德 老师 最 后 完成 审 稿 及 校对 工作 。 

在 本 书 的 策划 与 撰写 过 程 中 ,得 到 了 电子 科技 大 学 计算 机 科学 与 工程 学 院 计算 机 与 网 络 
取证 与 鉴定 实验 室 主 任 刘 乃 琦 教授 ,云南 大 学 信息 学 院 杨 鉴 , 代 红 兵 项 昆 \、 王 丽 清 、 吴 建 平 、 周 
永 录 、 王 云 峰 ,云南 大 学 软件 学 院 姚 绍 文 等 专家 学 者 的 大 力 支持 ,并 提出 了 许多 建设 性 的 意见 
和 建议 ,在 此 表示 由 圳 感谢 。 同 时 也 感谢 清华 大 学 出 版 社 的 支持 与 帮助 ,使 得 本 书 得 以 顺利 
出 版 。 

学 习 的 道路 是 没有 尽头 的 ,作者 非常 愿意 与 广大 读者 进行 交流 ,共同 学 习 、 共 同 进步 、 共 同 
提高 ,同时 也 非常 愿意 为 广大 读者 提供 帮助 和 技术 支持 。 

读者 在 阅读 本 书 的 过 程 中 ,有 什么 好 的 意见 或 建议 ,请 通过 QQ(QQ 号 : 1814433586) 告 
知 作者 ,作者 将 不 胜 感 激 , 并 虚心 接受 。 

由 于 作者 水 平 有 限 , 书 中 难免 存在 某 些 疏 漏 和 不 足 , 恳 请 读者 批评 、 指 正 。 

本 书 中 各 章 所 使 用 到 的 素材 、 思 考题 素材 ,读者 可 从 清华 大 学 出 版 社 网 站 自行 下 载 。 网 
址 : http://www. tup. com. cn, 


如 需 各 章 思 考题 参考 答案 ,请 通过 QQ 直接 与 作者 联系 。 


作者 : 陈 培 德 
云南 大 学 信息 学 院 
2018 年 10 月 
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1.1 数据 恢复 


随 着 信息 技术 的 飞速 发 展 和 无 纸 化 办 公 时 代 的 到 来 ,计算 机 在 人 们 的 工作 和 生活 中 扮演 
着 越 来 越 重要 的 角色 。 企 业 、 商 家 、 银 行政 府 机 关 、 事 业 单 位 等 通过 计算 机 来 获取 和 处 理 信 
息 , 同 时 也 将 重要 信息 以 数据 的 形式 保存 在 计算 机 的 外 存储 器 上 。 这 些 数据 一 旦 丢失 ,将 给 企 
业 、 商 家 银行 ,政府 机 关 、 事 业 单位 等 造成 无 法 挽回 的 损失 。 因 此 ,数据 丢失 后 ,能 否 很 好 地 保 
护 现场 并 找 回 丢 失 的 数据 就 显得 十 分 重要 。 于 是 ,数据 恢复 ,这 个 在 国外 已 经 使 用 了 二 十 多 
年 ,而 在 国内 却 鲜 为 人 知 的 技术 也 逐渐 被 国内 人 所 接触 和 使 用 。 


1.1.1 数据 恢复 定义 


什么 是 数据 恢复 呢 ? 到 目前 为 止 ,数据 恢复 还 没有 一 个 统一 的 定义 ,但 有 一 个 大 家 公认 的 
提 法 。 数 据 恢 复 是 指 外 存储 器 硬件 损坏 或 者 用 户 误 操作 、 误 分 区 、 误 格式 化 . 误 删除 文件 .计算 
机 病毒 破坏 等 导致 存储 在 外 存储 器 中 的 数据 无 法 通过 正常 方式 进行 存 取 , 只 有 通过 特殊 的 方 
式 将 所 需要 的 数据 恢复 到 正常 状态 ,以 便 进 行 正 常 的 存 取 或 将 其 存储 到 其 他 外 存储 器 的 过 程 。 

数据 恢复 一 般 分 为 “ 硬 恢复 "和 ”* 软 恢复 "两 种 。 所 谓 * 硬 恢复 ?是 指 外 存储 器 在 物理 上 出 现 
问题 而 导致 数据 无 法 正常 读 取 的 恢复 ; 也 就 是 说 ,由 于 外 存储 器 出 现 物理 问题 所 引起 的 故障 ， 
对 此 类 故障 进行 的 数据 恢复 ,一般 称 为 “ 硬 恢复 ”。 而 * 软 恢复 ? 则 是 指 逻辑 故障 (如 : 用 户 误 操 
作 、 误 分 区 、. 误 格式 化 ` 误 删除 文件 . 误 Ghost、\ 硬 件 逻 辑 锁 、 操 作 过 程 中 突然 掉 电 、 病 毒 破坏 等 
原因 ) 导 致 数据 无 法 通过 正常 的 方式 进行 存 取 , 使 得 数据 发 生 丢失 ,而 存储 介质 不 存在 任何 物 
理 故障 ,对 此 类 故障 进行 的 数据 恢复 ,一般 称 为 “ 软 恢 复 ”。 

“ 硬 恢复 需要 对 存储 介质 的 结构 及 工作 原理 相当 了 解 ; 而 “ 软 恢复 ” 则 需要 对 硬盘 分 区 和 
文件 系统 等 有 足够 的 认 知 。 


1.1.2 常用 数据 恢复 硬件 和 软件 


随 着 数据 恢复 行业 的 逐渐 兴起 ,一些 数 据 恢复 公司 先后 研发 了 一 些 数据 恢复 硬件 产品 , 常 
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用 的 数据 恢复 硬件 产品 如 下 。 

(1) DC 一 体 机 计算 机 取证 恢复 专业 设备 : 该 设备 是 目前 最 先进 的 全 球 第 四 代 专 业 数据 
恢复 工具 ,也 是 全 球 首 款 全 功能 性 数据 恢复 一 体式 设备 ,是 一 款 高 智能 化 专业 数据 恢复 设备 ; 
该 设备 配备 了 USB 接口 ,在 移动 性 、 便 携 性 、 功 能 性 等 方面 表现 强悍 ,其 数据 恢复 以 及 计算 机 
取证 成 功率 较 高 。 

(2) SD Il 9000 服务 器 取证 专业 设备 : 该 设备 支持 所 有 品牌 的 SAS/SCSI 接口 硬盘 , 支 
持 所 有 的 文件 系统 格式 、 各 种 服务 器 磁盘 阵列 类 型 数据 库 类 型 等 。 

(3) SAS/SCSI 数据 擦 除 一 体 机 : 该 设备 是 SAS/SCSI 存储 介质 数据 擦 除 销毁 设备 典 峰 
之 作 , 冠 绝 全球 , 兼 容 所 有 品牌 SAS/SCSI 接口 硬盘 ,全 面 支持 IBM、HP、DELL、SUN ,联想 、 
浪潮 、 华 硕 、 上 曙光, 长城 ,清华 同方 方正、 天 期 、Acer、AblestNet NE 等 市 面 上 所 有 品牌 服务 器 ， 
其 特点 是 Windows 界面 一体 工 控 键盘 设计 操作 简单 。 

(4) FLASH 闪存 数据 恢复 大 师 设备 : 该 设备 是 一 台 专 门 针 对 U 盘 、CF 卡 、 记 忆 棱 、 录 音 
笔 等 FLASH 存储 介质 进行 数据 提取 的 专业 FLASH 数据 恢复 设备 。 

(5) 智能 数据 指南 针 (Data Compass) 专 业 设 备 : 该 设备 是 一 款 专 门 针对 硬盘 逻辑 层 、 固 
件 层 \ 物 理 层 故障 数据 恢复 和 数据 提取 的 高 智能 、 高 效率 的 专业 设备 。 

(6) 硬盘 复制 机 一 一 DATA COPY KING: 该 设备 是 目前 全 球 最 先进 的 全 领域 硬盘 复制 
产品 ,融合 了 硬盘 高 速 复制 .数据 高 速 复制 .安全 擦 除 和 故障 自动 检测 的 高 性 价 比 一 体 设备 , 硬 
盘 复制 机 采用 了 效率 源 科 技 2010 年 最 新 技术 , 专 为 TB 级 大 容量 硬盘 而 设计 ,最 大 支持 
131072TB。 硬 盘 复 制 速度 、 擦 除 速度 .对 缺陷 扇 区 的 数据 获取 能 力 均 超过 市 场 同类 硬盘 复制 
产品 。 

与 此 同时 ,一 些 数据 恢复 公司 也 先后 开发 了 一 些 数据 恢复 软件 ,如 :EasyRecovery、 
Anedata、 安 易 数 据 恢 复 软件 .Get Data For FAT32/NTFS、 WinHex, FinalData、 R-studio、 
Recover my file、 易 我 数据 恢复 向 导 、 易 我 分 区 表 医 生 、DiskGenius、 顶 尖 数 据 恢复 软件 .效率 
源 数据 恢复 软件 ,等 等 。 


1.1.3 数据 恢复 需要 注意 的 事项 


在 数据 恢复 过 程 中 ,应 注意 以 下 6 点 。 

(1) 在 数据 恢复 过 程 中 最 怕 被 误 操作 而 造成 二 次 破坏 ,导致 数据 恢复 的 难度 陡 增 。 因 此 ， 
在 数据 恢复 过 程 中 ,严禁 再 向 要 恢复 数据 的 外 存储 器 中 写 入 新 的 数据 。 

(2) 严禁 做 磁盘 检查 : 一 般 文件 系统 出 现 错误 后 ,系统 开机 进入 启动 界面 时 ,会 自动 提 
示 一 一 是 否 需要 做 磁盘 检查 ? 大 约 10 秒 后 ,开始 进行 磁盘 检查 ; 这 种 操作 有 了 时候 可 以 修复 一 
些 比较 小 的 损坏 目录 或 文件 ,但 是 很 多 时 候 则 会 破坏 数据 链表 。 因 为 复杂 的 目录 结构 是 无 法 
修复 的 。 当 修复 结束 后 ,会 在 根 目录 下 产生 以 “FOUND. XXX”( 其 中 : XXX 为 000 至 999 之 
间 的 数字 ) 命 名 的 文件 夹 ,文件 夹 里 有 大 量 的 以 “. CHK” 为 扩展 名 的 文件 。 有 时 候 这 些 文件 重 
命名 后 就 可 以 直接 恢复 ,而 有 时 候 则 不 能 ,特别 是 比较 大 且 不 连续 存储 的 文件 。 

(3) 严禁 再 次 格式 化 逻辑 盘 或 卷 : 如 果 再 次 对 逻辑 盘 或 卷 进行 格式 化 ,将 会 给 数据 恢复 
带 来 更 大 的 困难 ,数据 可 能 无 法 恢复 。 

(4) 不 要 把 数据 直接 恢复 到 源 盘 上 : 很 多 普通 客户 删除 文件 后 ,使 用 数据 恢复 软件 将 恢 
复出 来 的 文件 直接 存储 到 原来 的 外 存储 器 中 ,这 样 破坏 原来 数据 的 可 能 性 非常 大 。 因 此 ,严禁 
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直接 将 数据 恢复 到 源 盘 上 。 


(5) 最 好 不 要 使 用 分 区 工具 重建 分 区 : 对 分 区 原理 不 熟悉 的 数据 恢复 人 员 而 言 , 如 果 分 
区 被 破坏 后 ,最 好 不 要 使 用 分 区 工具 重建 分 区 ,这样 很 容易 破坏 分 区 内 的 原来 文件 系统 中 的 重 
要 参数 ,从 而 导致 数据 恢复 的 难度 大 大 增加 。 

(6) 服务 器 磁盘 阵列 丢失 后 不 要 重 做 磁盘 阵列 重组 : 在 挽救 服务 器 阵列 的 实践 中 过 到 过 
有 些 网 管 员 ,在 服务 器 月 演 后 强行 让 阵列 上 线 , 即 使 掉 线 了 的 硬盘 也 强制 上 线 , 或 者 直接 做 
Rebuilding 命令 。 这 些 操 作 都 是 非常 危险 的 ,任何 写 入 盘 的 操作 都 有 可 能 破坏 原来 的 数据 。 

总 之 , 当 数据 丢失 后 ,严禁 向 盘 里 存 和 人 任何 新 数据 。 建 议 关 闭 计 算 机 ,然后 把 硬盘 人 印 下 , 连 
接 到 别 的 计算 机 上 作为 辅 盘 , 先 将 该 硬盘 上 的 数据 通过 克隆 的 方式 备份 到 新 的 硬盘 上 ,再 进行 
数据 恢复 操作 。 


1.1.4 数据 恢复 应 用 领域 


电子 证 据 第 一 次 出 现 是 在 1998 年 ,当时 某 公 安 机 关 网 安 部 门 在 侦办 某 网 络 案件 时 对 有 关 
证 据 进行 了 提取 ,并 被 法 院 采 纳 。 在 具体 法 律 规定 方面 ,我 国 较 发 达 国家 而 言 相对 晚 一 些 。 一 
方面 在 于 可 以 用 于 证 明 案 件 事实 的 材料 都 是 证 据 , 与 案件 相关 的 电子 证 据 自然 属于 证 据 范畴 ; 
另 一 方面 在 于 刑事 诉讼 法 中 将 证 据 种 类 限定 为 7 种 ,并 没有 设 定 电子 证 据 。2012 年 3 月 14 
日 ,第 十 一 届 全 国人 民 代 表 大 会 第 五 次 会 议 通 过 了 《关于 修改 (中 华人 民 共 和 国 刑事 诉讼 法 的 
决定 )》。 根 据 该 决定 ,电子 证 据 成 为 法 定 证 据 类 型 ,这 适应 了 现代 化 技术 的 发 展 需要 ,同时 也 丰 
富 了 证 据 范围 。 

随 着 计算 机 犯罪 数量 的 不 断 上 升 和 犯罪 手段 的 数字 化 ,搜集 电子 证 据 的 工作 成 为 提供 重 
要 线索 及 破案 的 关键 。 恢 复 已 被 破坏 的 计算 机 数据 并 提供 相关 的 电子 资料 证 据 就 是 电子 取 
证 。 具 体 来 说 ,电子 取证 就 是 利用 计算 机 硬件 和 软件 技术 ,以 符合 国家 的 法 律 ,法规 等 方式 对 
计算 机 和 入侵、 破坏、 欺诈、 攻击 等 犯罪 行为 进行 证 据 获取 、 保 存 . 分 析 和 出 示 的 过 程 。 从 技术 方 
面 看 ,电子 取证 就 是 对 受 侵 计算 机 系统 进行 扫描 和 破解 ,对 入 侵 事 件 进行 重建 的 过 程 。 

因此 ,数据 恢复 不 仅 能 为 个 人 恢复 已 丢失 的 数据 ,同时 也 应 用 于 公安 、 检 察 院 法院 、 司 法 


1.1.5 数据 恢复 从 业 人 员 


曾经 有 业内 人 士 对 从 事 数据 恢复 的 人 员 按 其 所 掌握 的 理论 知识 进行 过 分 类 ,认为 数据 恢 
复 从 业 人 员 可 以 分 为 3 类, 即 数据 恢复 软件 使 用 人 员 、 理 论 知 识 与 数据 恢复 软件 使 用 相 结 合 人 
员 和 数据 恢复 的 “自由 王国 "人 员 。 


1. 数据 恢复 软件 使 用 人 员 


这 类 人 员 基 本 没有 存储 方面 的 理论 基础 .只 会 操作 现 有 的 数据 恢复 软件 进行 数据 恢复 , 数 
据 恢复 的 效果 只 能 由 所 操作 的 数据 恢复 软件 的 功能 来 决定 。 


2. 理论 知识 与 数据 恢复 软件 使 用 相 结 合 人 员 
这 类 人 员 具 有 深厚 的 存储 知识 理论 功底 ,对 文件 系统 环境 及 文件 结构 有 相当 的 了 解 ,熟悉 
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各 种 数据 恢复 软件 参数 设置 的 理论 含义 ,可 以 针对 不 同 的 数据 丢失 情况 ,进行 详细 分 析 , 并 制 
定 切实 有 效 的 数据 恢复 方案 。 在 常用 的 数据 恢复 软件 无 法 很 好 地 完成 恢复 工作 时 ,能 够 手工 
修改 部 分 参数 ,为 数据 恢复 软件 创造 一 个 良好 的 环境 ,从 而 最 大 限度 地 挽救 丢失 的 数据 。 


3. 数据 恢复 的 “自由 王国 ”人员 


具备 第 2 类 人 员 的 基础 ,同时 具有 良好 编程 能 力 ,在 现 有 的 数据 恢复 软件 无 法 胜任 恢复 要 
求 的 情况 下 ,随时 可 以 自行 编写 实用 的 程序 ,以 弥补 现 有 数据 恢复 软件 的 不 足 , 最 大 程度 、 最 快 
速 地 恢复 数据 。 

成 为 数据 恢复 软件 使 用 人 员 是 很 容易 的 ,只 要 有 一 定 的 计算 机 操作 经 验 即 可 ,但 这 也 是 最 
和 危险 的 ,因为 数据 恢复 的 成 功率 不 仅 取决 于 数据 丢失 后 的 情况 ,同时 也 取决 于 用 户 对 数据 丢失 
现场 的 保护 程度 , 见 参 考 文献 [ 3, 前言]。 


1.2 数据 恢复 相关 知识 


1.2.1 数据 的 表示 方式 


计算 机 内 的 数据 一 般 分 为 无 符号 数 和 带 符号 数 两 种 ,对 于 无 符号 数 而 言 , 整 个 数据 均 为 数 
值 部 分 ,也 就 是 说 ,该 数据 是 正 数 或 者 是 零 ; 对 于 带 符号 的 数据 ,在 计算 机 中 有 3 种 表示 方法 : 
即 原 码 、 补 码 和 反 码 ; 它们 都 是 由 符号 位 和 数值 两 部 分 组 成 ,数据 最 高 位 为 符号 位 ,符号 位 使 
用 “0” 表 示 正 数 ,使 用 *1” 表 示 负 数 ; 剩余 位 为 数值 部 分 。 


1. 原 码 表示 法 


正 数 的 符号 位 用 “0 表示 ,而 负数 的 符号 位 用 “1” 表 示 ,数值 部 分 按 二 进 制 的 形式 表示 。 
例 1.1 已 知 X= 十 42,Y= 一 42, 求 : XY 的 八 位 和 十 六 位 二 进 制 数 的 原 码 并 转换 为 对 


应 的 十 六 进 制 数 。 
解 : 
(1) 久 和 YY 八 位 二 进 制 数 以 及 对 应 十 六 进 制 的 原 码 
因为 XX=( 十 42)1 = (SF010 1010); = (0010 1010); 
所 以 [X] = (0010 1010), = (2A)ie 
因为 Y= (—42), = (Ello10 1010), = (和 olo 1010); 
所 以 [Y ]g = (1010 1010); =(AA) 


(2) X 和 YY 十 六 位 二 进 制 数 以 及 对 应 十 六 进 制 的 原 码 

因为 ”X=( 十 42)wo = (F000 0000 0010 1010), = (0000 0000 0010 1010); 

所 以 [X] = (0000 0000 0010 1010); =(002A)1 

因为 Y=(—42)iÁ = (—000 0000 0010 1010); = (1000 0000 0010 1010); 

所 以 ” [Y e — (1000 0000 0010 1010); =(802A) 

原 码 表示 很 直观 ,与 真 值 转换 也 很 方便 ; 但 是 原 码 进行 加 、 减 运算 时 ,符号 位 不 能 视 同 数 
值 一 起 参与 运算 ,这 时 需要 通过 判断 两 数 的 符号 来 决定 两 数 绝对 值 是 做 加 法 运算 还 是 做 减法 
运算 ,而 且 还 要 判断 两 数 绝对 值 的 大 小 , 取 绝 对 值 大 的 数 的 符号 作为 结果 的 符号 ,这 样 运 算 规 
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则 不 仅 复杂 ,而且 运算 时 间 长 。 

2. 反 码 表示 法 

正 整 数 的 反 码 表 示 与 其 原 码 表示 相同 ; 负 整数 的 反 码 表示 是 将 该 数 的 原 码 除 符号 位 以 外 
其 余 各 位 取 反 。 


例 1.2 已 知 X 一 十 42,Y 一 一 42, 求 : XY 的 八 位 和 十 六 位 二 进 制 数 的 反 码 并 转换 为 对 
应 的 十 六 进 制 数 。 


解 : 

(1) X 和 YY 八 位 二 进 制 数 以 及 对 应 十 六 进 制 的 反 码 

因为 X=( 十 42)1 = (+-010 1010); = (0010 1010); 
所 以 [XJs = (0010 1010); =(2A) 

因为 Y= (—42), = ($010 1010), = (010 1010); 
所 以 [YJx = (1101 0101), =(D5) 


(2) X 和 YY 十 六 位 二 进 制 数 以 及 对 应 十 六 进 制 的 反 码 

因为 ”X=( 十 42)wo 二 (于 000 0000 0010 1010), = (0000 0000 0010 1010); 
所 以 [X] = (0000 0000 0010 1010), =(002A) 

因为  Y=(—42)i = (—000 0000 0010 1010); = (1000 0000 0010 1010); 
所 以 [Y] = (1111 1111 1101 0101), =(FFD5), 


3. 补 码 表示 法 


正 整数 的 补 码 表示 与 其 原 码 表示 相同 ; 负 整数 的 补 码 表示 为 先 求 该 数 的 反 码 ,再 在 最 低 
位 加 1, 即 负 整 数 的 补 码 等 于 其 反 码 加 1. 

补 码 是 计算 机 中 用 得 最 多 的 一 种 带 符号 数 表 示 , 因 为 计算 机 中 最 多 的 运算 是 加 、 减 运算 ， 
补 码 的 表示 使 符号 位 可 以 和 有 效 数 值 部 分 一 起 直接 参与 加 、 减 运算 ,无须 像 原 码 那样 对 符号 位 
进行 判断 ,从 而 简化 了 运算 规则 ,提高 了 机 器 运算 速度 。 因 此 ,在 计算 机 中 对 于 带 符号 的 数值 
一 般 是 以 补 码 表示 的 。 

例 1.3 已 知 X= 十 42,Y= 一 42, 求 : XY 的 八 位 和 十 六 位 二 进 制 数 的 补 码 并 转换 为 对 


应 的 十 六 进 制 数 。 
解 : 
(1) X 和 YY 八 位 二 进 制 数 以 及 对 应 十 六 进 制 的 补 码 
因为 X=(+-42),iÍ = (+-010 1010), =(0010 1010); 
所 以 [LX]# 一 (0010 1010): 一 (2A)1s 
SR Y 的 补 码 , 先 求 Y 的 反 码 : 
因为 Y=( 一 42)w = ($010 1010), =(llo10 1010)， 
所 以 [Y]s =(1101 0101); =(D5) 


由 于 负 整 数 的 补 码 等 于 反 码 加 1. 
因此 ,[Y]# 一 [Ye 十 (1): 一 (1101 0101 十 1)* 一 (1101 0110); =(D6), 
D X 和 YY 十 六 位 二 进 制 数 以 及 对 应 十 六 进 制 的 补 码 
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因为 1 X=C(+42), = (+-000 0000 0010 1010); = (0000 0000 0010 1010); 
所 以 [X ]# = (0000 0000 0010 1010), =(002A)4 

SR Y 的 补 码 , 先 求 Y 的 反 码 : 

因为 ”Y=( 一 42)w = (—000 0000 0010 1010), = (1000 0000 0010 1010); 
A [YJ]s= (1111111 1101 0101): =(FFD5) 

于 负 整 数 的 补 码 等 于 反 码 加 1. 

因此 ,[Y] 王 [Ye 十 (1): 一 (由 11 1111 1101 0110); =<(FFD6) 


1.2.2 数据 的 存储 形式 


数据 的 存储 形式 ,也 就 是 数据 在 存储 器 中 的 存放 顺序 。 在 表示 数值 的 大 小 时 ,由 于 1 字 节 
最 大 只 能 表示 到 255( 注 : 无 符号 数 ) ,如 果 要 表示 大 于 255 的 数据 , 则 需要 N 字 节 ,其 中 : 
N 为 大 于 或 者 等 于 2 的 正 整 数 ,这 就 存在 N 字 节 在 存储 器 中 存放 顺序 的 问题 ; 在 存储 器 中 对 
N 字 节 组 成 的 数据 有 大 头 位 序 和 小 头 位 序 两 种 存储 形式 。 


1. 大 头 位 序 (Big-Endian) 


采用 大 头 位 序 存储 的 数据 ,在 存储 器 中 的 存放 顺序 是 : 从 左 到 右 为 最 高 字 节 向 最 低 字 节 
依次 存放 , 即 高 字 节 存放 在 前 ( 左 )、 低 字 节 存放 在 后 ( 右 ) 。 

假设 某 数据 由 N 字 节 组 成 ,其 中 : N 为 大 于 或 者 等 于 2 的 正 整数 ; N 字 节 分 别 为 “Xi ， 
Xos Xart ,Xn”, 如 果 采 用 大 头 位 序 存储 ,在 存储 器 中 的 存放 顺序 为 “XX。 X, 
Xn”; 则 该 数据 的 值 为 Xi X. X, Xs. 

例 1.4 十 进 制 数 143360, 转 换 成 十 六 进 制 数 为 23000; 在 存储 器 中 至 少 需要 3 字 节 来 存 
储 该 数据 。 十 进 制 数 143360 采用 大 头 位 序 在 存储 器 中 分 别 占用 3 至 8 字 节 的 存储 形式 见 


表 1.1 所 列 。 
表 1.1 采用 大 头 位 序 在 存储 器 中 的 存储 形式 

分 配给 该 数 t 

据 的 字 节 数 存储 形式 十 六 进 制 十 进 制 
3 02 30 00 23000 143360 
4 00 02 30 00 23000 143360 
5 00 00 02 30 00 23000 143360 
6 00 00 00 02 30 00 23000 143360 
7 00 00 00 00 02 30 00 23000 143360 
8 00 00 00 00 00 02 30 00 23000 143360 


如 果 该 数据 占用 9 字 节 , 则 在 该 数据 前 ( 左 ) 添 加 1 字 节 值 *00”, 以 此 类 推 。 
2. 小 头 位 序 (Little-Endian) 


采用 小 头 位 序 存储 的 数据 ,其 数据 在 存储 器 中 的 存放 顺序 是 : 从 左 到 右 为 最 低 字 节 向 最 
高 字 节 依次 存放 , 即 低 字 节 存放 在 前 ( 左 ) 、 高 字 节 存放 在 后 ( 右 )。 
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假设 某 数据 由 N 字 节 组 成 ,其 中 : N 为 大 于 或 者 等 于 2 的 正 整 数 ; N 字 节 分 别 为 “Xi ， 
Xs ,Xs,…,Xw”, 如 果 采 用 小 头 位 序 存储 ,在 存储 器 中 的 存放 顺序 为 “X， X, X, 
Xn”; 则 该 数据 的 值 为 Xw…XsXs Xi 。 

例 1.5 十 进 制 数 143360 ,转换 成 十 六 进 制 数 为 23000; 在 存储 器 中 至 少 需要 3 字 节 来 存 
储 该 数据 。 十 进 制 数 143360 采用 小 头 位 序 在 存储 器 中 分 别 占 用 3 至 8 字 节 的 存储 形式 见 
表 1.2 所 列 。 


表 1.2 采用 小 头 位 序 在 存储 器 中 的 存储 形式 


分 配给 该 数 值 

据 的 字 节 数 存储 形式 十 六 进 制 十 进 制 
š 00 30 02 23000 143360 
4 00 30 02 00 23000 143360 
5 00 30 02 00 00 23000 143360 
6 00 30 02 00 00 00 23000 143360 
党 00 30 02 00 00 00 00 23000 143360 
8 00 30 02 00 00 00 00 00 23000 143360 


如 果 该 数据 占用 9 字 节 , 则 在 该 数据 后 ( 右 ) 添 加 1 字 节 值 *00”, 以 此 类 推 。 

不 同 的 分 区 形式 ,文件 系统 ,数据 的 存放 形式 不 同 。 在 MBR 分 区 、GPT 分 区 、FAT32 和 
NTFS 文件 系统 中 ,数据 的 存储 形式 采用 小 头 位 序 ; 而 在 动态 磁盘 的 LDM 数据 库 中 数据 存储 
形式 则 是 采用 大 头 位 序 。 


1.2.3 计算 机 的 启动 过 程 


计算 机 的 启动 过 程 主要 由 以 下 几 个 步骤 组 成 。 

(1) 开机 ,BIOS 加 电 自 检 , 如 果 自 检 正 常 , 则 转 到 第 2 步 ; 自 检 不 正常 , 则 出 现 错误 提示 
或 者 响声 并 死机 。 

(2) 根据 CMOS 的 设置 开始 启动 ,将 硬盘 (假设 CMOS 的 设置 是 硬盘 为 第 一 启动 顺序 ) 的 
0 号 扇 区 ( 即 硬盘 0 磁头 0 柱 面 1 扇 区 ,也 就 是 主 引导 扇 区 ) 读 入 内 存 地 址 0000:7C00 处 ,并 且 
从 0000:7C00 处 开始 执行 。 

(3) 检查 0000:7DFE 是 否 等 于 0XAA55。 若 不 等 于 则 转 去 尝试 其 他 介质 ; 如 果 没 有 其 他 
启动 介质 , 则 显示 “No ROM BASIC”, 然 后 死机 。 

(4) 主 引导 记录 先 将 自己 复制 到 0000:0600 处 ,然后 继续 执行 。 

(5) 在 主 分 区 表 中 搜索 标志 为 活动 的 分 区 。 如 果 发 现 没有 活动 分 区 或 者 不 止 一 个 活动 分 
区 , 则 停止 。 

(6) 将 活动 分 区 的 第 一 个 扇 区 读 入 内 存 地 址 0000:7C00 处 。 

(7) 检查 0000:7DFE 是 否 等 于 0XAA55 , 若 不 等 于 则 显示 “Missing Operating System”, 
然后 停止 。 

(8) 跳 转 到 0000:7C00 处 继续 执行 特定 系统 的 启动 程序 。 

以 上 步骤 是 标准 的 硬盘 主 引 导 扇 区 ,多 系统 引导 程序 的 引导 过 程 与 此 不 同 ; 多 系统 引导 
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程序 (如 : Smart Boot Manager, BootStar, PQBoot 等 ) 是 将 标准 主 引导 记录 替换 成 自己 的 引 
导 程 序 ,在 运行 系统 启动 程序 之 前 让 用 户 选 择 想 要 启动 的 分 区 。 而 某 些 系统 自 带 的 多 系统 引 
导 程 序 ( 如 : LILO、NT Loader, 一 键 还 原 等 ), 则 可 以 将 自己 的 引导 程序 放 在 系统 所 处 分 区 的 
0 号 扇 区 中 ,在 Linux 中 即 为 两 个 扇 区 的 Super Block。 有 关 多 系统 引导 程序 ,请 读者 参阅 有 


关 资 料 。 
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什么 是 数据 恢复 ? 从 事 数 据 恢复 工作 应 注意 哪些 事项 ? 
目前 数据 恢复 从 业 人 员 主 要 分 为 哪 3 类 ? 

数据 恢复 主要 应 用 于 哪些 领域 ? 
常用 的 数据 恢复 软件 有 哪 几 种 ? 你 最 喜欢 使 用 的 数据 恢复 软件 是 哪 款 ? 
数据 的 存储 形式 有 哪 两 种 ? 
在 FAT32 文件 系统 和 NTFS 文件 系统 中 ,数据 使 用 的 是 哪 种 存储 形式 ? 

按 表 1. 3 中 的 示例 ,将 十 进 制 正 整数 5.45.60.98 和 108 按 下 列 要 求 进行 转换 ,并 将 
结果 填 人 到 表 1. 3 对 应 单元 格 中 。 


表 1.3 十 进 制 正 整数 转换 为 二 进 制 数 和 十 六 进 制 数 的 原 码 、 反 码 和 补 码 


十 进 制 正 整数 


65( 示 例 ) 5 45 60 98 108 
原 码 \ 反 码 ,. 补 码 an 
原 码 0100 0001 
八 位 二 进 制 Km 0100 0001 
补 码 0100 0001 
八 位 二 进 制 对 应 十 六 进 nn 站 
( 即 1 "N 
uki 补 码 41 
0000 0000 
原 码 0100 0001 
= 0000 0000 
十 六 位 二 进 制 反 码 人 
补 码 0000 0000 
0100 0001 
A 1 
十 六 位 二 进 制 对 应 十 六 H =a 
进 制 ( 即 2 字 节 ) =: a 


(1) 转换 为 八 位 二 进 制 数 的 原 码 、 反 码 和 补 码 以 及 对 应 十 六 进 制 数 。 


(2) 转换 为 十 六 位 二 进 制 数 的 原 码 、 反 码 和 补 码 以 及 对 应 十 六 进 制 数 。 


1.8 按 表 1.4 中 的 示例 ,将 十 进 制 负 整数 一 5、 


转换 ,并 将 结果 填 人 到 表 1. 4 对 应 单元 格 中 。 
(1) 转换 为 八 位 二 进 制 数 的 原 码 ` 反 码 和 补 码 以 及 对 应 的 十 六 进 制 数 。 
(2) 转换 为 对 应 十 六 位 二 进 制 数 的 原 码 、 反 码 和 补 码 以 及 对 应 的 十 六 进 制 数 。 


45、 


60、 


98 和 


108 按 下 列 要 求 进行 
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表 1.4 十 进 制 负 整 数 转换 为 二 进 制 数 和 十 六 进 制 数 的 原 码 、 反 码 和 补 码 


十 进 制 负 整数 € 
=65 = 二 全 — 6! —98 —108 
B.P aB ga s j 
原 码 1100 0001 
八 位 二 进 制 反 码 1011 1110 
补 码 1011 1111 
八 位 二 进 制 对 应 十 六 进 EE 
制 ( 即 1 字 节 ) dc) BE 
补 码 BF 
1000 0000 
原 码 0100 0001 
1111 HIT 
十 六 位 二 进 制 反 码 EEE 
HH 11111 
补 码 1011 1111 
L. 8041 
十 六 位 二 进 制 对 应 十 六 EE g 
进 制 ( 即 2 字 节 ) 区 中 FEBE 
补 码 FFBF 


1.9 在 计算 机 中 数据 一 般 是 用 补 码 表示 ,以 字 节 为 存储 单位 ,存储 形式 分 为 小 头 位 序 和 
大 头 位 序 两 种 ; 当 用 户 使 用 磁盘 编辑 软件 查看 数据 时 , 则 是 以 十 六 进 制 的 形式 显示 , 表 1.5 给 
出 了 十 进 制 “65? 和 “一 65? 转 换 为 二 进 制 后 以 十 六 进 制 存储 形式 的 示例 , 请 按照 表 1.5 示例 ， 
将 表 1.6 和 表 1.7 中 的 十 进 制 数 转换 为 十 六 进 制 存 储 形式 。 


表 1.5 十 进 制 整数 转换 为 十 六 进 制 存储 形式 示例 


十 进 制 
6 = 
存储 形式 5 
小 | 占 2 字 节 41 00 BF FF 
& 占 4 字 节 41 00 00 00 BF FF FF FF 
序 占 6 字 节 41 0 | o0 | 00 | 00 | BF | FF | FF | FF | FF | FF 
K| 占 2 字 节 41 FF BF 
& 占 4 字 节 00 00 00 41 FF FF FF BF 
F| 占 6 字 节 oo | oo | oo | oo |o | 4 | FF | FF | FF | FF | FF | BF 
表 1.6 十 进 制 正 整数 转换 为 十 六 进 制 数 存储 形式 

TR 5 45 98 108 
存储 形式 
占 2 字 节 
位 占 4 字 节 
序 | 占 6 字 节 
大 占 2 字 节 
& | wag 
E| 占 6 字 节 


表 1.7 十 进 制 负 整 数 转换 为 十 六 进 制 数 存 储 形式 


TEN 

存储 形式 5 45 98 108 
小 | 占 2 字 节 

& | wag 

E| 占 6 字 节 

大 | 236 

Ë | wag 

E| 占 6 字 节 


1.10 某 硬盘 0 号 扇 区 存储 的 4 个 MBR 分 区 表 如 图 1. 1 所 示 , 分 区 表 中 的 数据 均 为 无 
符号 数 ,存储 形式 采用 小 头 位 序 ; 每 个 分 区 表 占 16 字 节 ,其 中 : 相对 扇 区 和 总 扇 区 数 各 占 4 字 
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个 分 区 表 中 相对 扇 区 和 总 扇 区 数 已 填 人 到 表 1. 8 对 应 单元 格 中 ; 请 将 第 2 一 4 个 分 


区 表 中 相对 扇 区 和 总 扇 区 数 填 人 到 表 1. 8 对 应 单元 格 中 。 


3 fles, 4 partitions 


第 2 
的 总 记 区 数 


了 Unpartitioned space 
L Unpartttonable sp 


AO re Z 
oE 19[80 30 02 00|00 so 02 00 


pa I I 
MEM [so so na oojoo Eo ol ool ce [ 2 Da 
“abg: Fo go 30 06 00|oo co oz oo a 


Bytes per sector: 5- 
Sector 0 0f 614401 TORSet 180, =32| Block ma | Size: ma 


图 1.1 某 硬盘 0 号 扇 区 的 4 个 MBR 分 区 表 


表 1.8 整个 硬盘 0 号 扇 区 4 个 分 区 表 的 相对 扇 区 和 总 扇 区 数 


分 区 相对 扇 区 总 扇 区 数 
存储 形式 十 六 进 制 十 进 制 存储 形式 十 六 进 制 十 进 制 
第 1 个 (示例 ) | 80 | 00 | 00 | 00 80 128 00 | 30 | 02 | 00 23000 143360 
第 2 个 
第 3 个 
第 4 个 
1.11 某 硬盘 128 号 扇 区 FAT32_DBR 中 的 BPB 参数 如 图 1. 2 所 示 ,FAT32_DBR 中 的 


BPB 参数 均 为 无 符号 数 ,数据 存储 形式 采用 小 头 位 序 ; 请 按 图 1. 2 中 对 应 参数 的 标注 将 
FAT32_DBR 中 的 BPB 参数 填 人 表 1. 9 对 应 单元 格 下 画 线 处 。 


[bed 2. vhd) | s s 
每 个 入 的 扇 区 数 
1 a 
8 9| . 国 
0 00 00 O! . 
original 00010020 EO 7F 1F OO[DD 07 00 00] 00 00 00 00 02 00 00 00 FL......,. 
Undo levet o| 00010030 01 00 06 00 00 00 00 00 N~ 00 m o0 00 00 00|. 
Undo reverses: Wa | 00010040 00 01 29 41 56 BC 00 乍 处 \ 4 a5 隐藏 局 区 数 
00010050 20 20 46 41 54 33 32 20 FAT32 Éli + 
Total capacily: 900MB |, ENPATIA En ni , 
Sector 128 of 184321 | Offset 1003F =0] Bock 425CIA- 425C1B| Size: 2 


图 1.2 硬盘 128 号 扇 区 FAT32_DBR 的 BPB 参数 


mit ma | 


3 1.9 FAT32_DBR 的 BPB 参数 


字 节 偏 移 字 节 数 & Xx 
十 进 制 十 六 进 制 | 存储 形式 

0X00—0X0A 11 略 略 略 略 
0X0B 2 每 个 扇 区 的 字 节 数 
0X0D 1 每 个 簇 的 扇 区 数 
OXOE 2 TERA K 
0X10~0X1B 12 略 略 略 略 
0X1C 4 隐藏 扇 区 数 
0X20 4 该 分 区 总 扇 区 数 
OX24 4 每 个 FAT 表 占 用 扇 区 数 
0X28 一 0X3F 24 略 略 略 略 


1.12 某 硬盘 18560 号 扇 区 存储 的 NTFS_DBR 备份 中 的 BPB 参数 如 图 1. 3 所 示 ,数据 
存储 形式 采用 小 头 位 序 ; 请 按 图 1. 3 中 对 应 参数 的 标注 将 NTFS_DBR 备份 中 的 BPB 参数 填 
AX 1. 10 对 应 单元 格 下 面 线 处 。 注 : 在 NTFS_DBR 中 的 BPB 参数 中 , 扇 区 偏 移 0X40 和 
0X44 所 存储 的 参数 为 带 符号 数 ,其余 参 数 均 为 无 符号 数 , 负 整 数 使 用 补 码 表示 。 


FE 文件 BCIE] 
元 文件 $MFT 每 

条 记录 大 小 描述 00 00 
TeamfEarmin 

FF 47 09 00 00 00 00 00]/ /. 
02 00 00 00 00 00 00 OOU/. 


Undo levet: 1 
Undo reversespboard writing 


ector 18560 of 819201 Ofset 910000 =235| Block na, Sd i 
图 1.3 硬盘 18560 号 扇 区 NTFS_DBR 备份 的 BPB 参数 
表 1.10 NTFS_DBR 的 BPB 参数 
值 y 
字 节 偏 移 | 字 节 数 & x 
十 进 制 十 六 进 制 | 存储 形式 

0X00—0X0A 11 略 略 略 略 
0X0B 2 每 个 扇 区 的 字 节 数 
0X0D 1 FEAR BJ B P< 38 
0X0E—0X27 26 略 略 略 略 
0X28 8 一 一 | 总 扇 区 数 ,所 对 应 分 区 表 总 扇 区 数 减 1 
0X30 8 — | 元 文件 $ MFT FRG 
0X38 8 — | 元 文件 $MFTMirr 开始 能 号 
0X40 1 元 文件 $ MFT 每 条 记录 大 小 描述 
0X41 $ 0 0 00 0000 | 未 用 
0X44 i 每 个 索引 节点 大 小 描述 
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续 表 
值 
字 节 偏 移 | 字 节 数 & A 
十 进 制 十 六 进 制 存储 形式 

0X45 3 0 0 00 0000 | 未 用 

AD B2 F6 B8 
0X48 8 Fo FOB 卷 的 序列 号 
0X50 4 0 0 00 00 00 00 | 检验 和 
0X54 426 略 引导 记录 
OX1FE 2 55 AA 签名 


注 :“ 总 扇 区 数 ”“ 元 文件 $ MFT 开始 簇 号 "和 “元 文件 $ MFTMirr 开始 簇 号 ?分 别 各 占 8 字 节 ,由 于 存储 形式 单元 格 宽 
度 太 小 ,请 分 两 行 填写 ,第 1 行 填写 低 4 字 节 ,第 2 行 填写 高 4 字 节 。 
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硬盘 相关 知识 


2.1 硬盘 基础 知识 


硬盘 (英文 名 称 Fixed disk 或 者 Hard disk) 是 计算 机 系统 中 最 为 常见 的 一 种 外 存储 器 ,是 
集 机 、 电 、 磁 于 一 体 的 高 精密 存储 设备 。 

1956 年 9 H IBM 公司 推出 了 世界 上 第 一 个 称 为 IBM 350 RAMAC 的 硬盘 。 这 个 容量 
仅 为 5MB 的 硬盘 共计 使 用 了 50 个 直径 为 24 英寸 的 盘 片 ,这 些 盘 片 表面 涂 有 一 层 磁 性 物质 ， 
它们 被 释放 在 一 起 , 绕 着 同一 个 轴 旋 转 , 其 磁头 可 以 直接 移动 到 盘 片 上 的 任意 一 块 存储 区 域 ， 
从 而 成 功 地 实现 了 随机 存储 。 尽 管 这 个 硬盘 的 体积 大 得 像 一 台大 型 家 用 洗衣 机 ,速度 和 容量 
都 不 尽 如 和 人意 ,但 在 当时 总 比 使 用 纸 带 记录 数据 好 得 多 。 随 着 计算 机 技术 的 不 断 发 展 ,硬盘 驱 
动 器 从 控制 技术 ,接口 标准 、 机 械 结构 等 方面 都 有 了 一 系列 改进 。 正 是 因为 这 一 系列 技术 上 的 
突破 ,使 得 我 们 今天 终于 用 上 了 容量 大 、 体 积 小 、 速 度 快 ,性 能 可 靠 、 价 格 便宜 的 硬盘 。 

从 尺寸 上 划分 ,硬盘 主要 有 : 5. 25 英寸 ,3.5 英寸 ,2.5 英寸 和 1.8 英寸 等 。 外 存储 器 除 硬 
盘 外 ,还 有 移动 硬盘 、U 盘 、 各 种 存储 卡 、VCD 光盘 ` DVD 光盘 .固态 硬盘 等 。 


2.1.1 硬盘 物理 结构 与 工作 原理 


一 般 来 说 , 除 固态 硬盘 外 ,无 论 哪 种 硬盘 ,都 是 由 盘 片 .磁头 、 盘 片 主轴 、 控 制 电 机 、 磁 头 控 
制 器 、 数 据 转换 器 、 接 口 、 缓 存 等 几 个 部 分 组 成 。 所 有 的 盘 片 都 固定 在 一 个 旋转 轴 上 ,这 个 轴 称 
之 为 盘 片 主轴 。 而 所 有 盘 片 之 间 是 平行 的 ,在 每 个 盘 片 上 面 都 有 一 个 磁头 ,磁头 与 盘 片 之 间 的 
距离 比 头发 丝 的 直径 还 小 。 所 有 的 磁头 连接 在 一 个 磁头 控制 器 上 , 巾 磁头 控制 器 负责 各 个 磁 
头 的 移动 。 磁 头 沿 盘 片 的 半径 方向 移动 ,而 盘 片 以 每 分 钟 数 千 转 甚至 上 万 转 的 速度 在 高 速 旋 
转 , 这 样 磁头 就 能 对 盘 片上 的 指定 位 置 进行 数据 的 读 / 写 操作 。 由 于 硬盘 是 高 精密 设备 ,所 以 
必须 完全 密封 。 


1. 硬盘 外 部 结构 


从 外 观看 ,硬盘 是 一 个 长 方 体 的 金属 盒子 。 底 层 控制 电路 板 裸露 在 腹部 ,尾部 是 与 计算 机 
主板 相连 接 的 数据 接口 .电源 接口 、 主 -从 盘 设 置 。 硬 盘 的 正面 图 大 致 如 图 2. 1 所 示 ,而 背面 图 
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大 致 如 图 2.2 所 示 。 
高 整 缓存 


控制 电路 板 EHS 
\ 


ERE 
图 2.1 硬盘 的 正面 图 2.2 硬盘 的 背面 


硬盘 的 主要 厂商 有 : IBM 公司 、 和 希捷 (Seagate)、 西 部 数据 (Western Digital), 35 拓 
(Maxtor) ,富士通 (Fujitsu) 和 三 星 (Samsung) 等 等 。 在 硬盘 的 正面 贴 有 产品 标签 ,产品 标签 
上 主要 有 广 商 的 信息 和 硬盘 产品 的 基本 信息 ,如 : 商标 、 硬 盘 型 号 .序列 号 .生产 日 期 、 硬 盘 容 
ht. 硬盘 主 要 参数 和 主 -从 盘 设 置 方法 等 。 不 同 硬盘 厂商 所 标识 的 硬盘 信息 方式 不 同 ,这 些 信 
息 是 用 户 正 确 使 用 硬盘 的 基本 依据 。 

硬盘 主要 部 件 的 作用 如 下 。 

(1) 电源 接口 : 硬盘 的 电源 接口 由 4 根 针 组 成 ,分 别 连接 4 条 不 同 颜色 的 电源 线 ; 其 中 一 
条 红线 连接 十 5V 电压 ,一 条 黄 线 连接 十 12V 电压 ,而 另外 两 根 黑 线 为 接地 线 。 

(2) 跳 线 : 当 用 户 要 在 一 条 数据 线 上 连接 两 个 硬盘 时 ,需要 将 一 个 硬盘 跳 线 设置 为 “ 主 
盘 " 或 者 "从 盘 ”, 而 将 另外 一 个 硬盘 的 跳 线 设置 为 “从 盘 " 或 者 “ 主 盘 ”; 跳 线 的 具体 设置 方法 ， 
请 参照 硬盘 正面 上 的 说 明 。 

(3) 接口 : 接口 是 硬盘 和 主板 接口 进行 数据 交换 的 通道 。 

(4) 电容 : 硬盘 存储 了 大 量 的 数据 ,为 了 保证 数据 传输 时 的 安全 ,需要 高 质量 的 电容 使 电 
压 稳 定 。 

(5) 控制 芯片 : 硬盘 的 控制 芯片 负责 数据 的 交换 和 处 理 , 是 硬盘 的 主要 核心 部 件 之 一 , 同 
型 号 的 硬盘 电路 板 可 以 相互 替换 。 


2. 硬盘 内 部 结构 


硬盘 内 部 由 固定 面板 \、 控 制 电路 板 、 磁 头 组 件 、 盘 片 、 主 轴 组 件 , 电 机 、 接 口 及 其 他 附件 组 
成 。 硬 盘 内 部 结构 大 致 如 图 2.3 所 示 。 

硬盘 内 部 主要 部 件 作 用 说 明 如 下 。 

Q) 磁头 : 用 来 读 / 写 数据 ,磁头 在 启动 或 者 停止 的 时 候 接触 硬盘 盘 片 表 面 ; 在 工作 时 ,不 
接触 盘 片 表面 ,而 是 “悬浮 ?在 距 盘 片 表面 约 0.1 一 0. 3pm 的 高 度 , 处 于 高 速 飞行 状态 ; 磁头 的 
编号 从 0 开始 ,顺序 编号 。 

(2) 盘 片 : 是 存放 数据 信息 的 载体 ,出 厂 的 一 些 重要 信息 也 存储 在 盘 片上 。 

(3) 主轴 组 件 : 主轴 组 件 主要 包括 主轴 部 件 ,如 : 轴承 、 驱 动 电机 等 。 

(4) 前 置 电路 : 前 置 电路 控制 磁头 的 感应 信号 .主轴 电机 调 速 、 磁 头 驱 动 和 伺服 定位 等 。 


第 2 章 硬盘 相关 知识 ° 


其 中 : 磁头 组 件 是 构成 硬盘 的 核心 部 件 , 也 是 硬盘 最 精密 的 部 件 之 一 ,主要 包括 磁头 、 传 
动手 臂 、 传 动 轴 3 个 部 分 。 磁 头 组 件 如 图 2.4 所 示 。 
Ë EA 磁头 磁头 民 前 置 控制 电路 


电磁 线圈 电机 
磁头 驱动 小 车 


空气 过 滤 片 转动 轴 前 置 控制 电路 。 传动 手臂 ”磁头 
图 2.3 硬盘 内 部 结构 图 2.4 磁头 组 件 图 
3. 硬盘 读 / 写 原 理 


系统 将 数据 存储 到 硬盘 盘 片 上 , 按 柱 面 、 磁 头 、. 扇 区 的 方式 进行 写 操作 , 即 从 硬盘 盘 片 0 磁 
3k 0 柱 面 1 号 扇 区 开始 ,同一 磁道 写 操作 完成 后 , 接 下 来 是 同一 柱 面 的 下 一 个 磁头 ,以 此 类 推 ， 
一 个 柱 面 存储 满 后 就 推进 到 下 一 个 柱 面 ,直到 把 数据 全 部 写 人 硬盘 盘 片 。 系 统 也 以 相同 的 顺 
序 读 出 数据 , 读 出 数据 时 通过 告诉 控制 器 读 出 扇 区 所 在 的 柱 面 号 、 磁 头号 和 扇 区 号 。 控 制 咒 直 
接 将 磁头 部 件 步 进 到 相应 的 柱 面 , 选 通 相应 的 磁头 ,等 待 要 求 的 扇 区 移动 到 磁头 下 。 在 扇 区 到 
来 时 ,控制 器 读 出 每 个 扇 区 的 头 标 ,把 这 些 头 标 中 的 地 址 信息 与 期 待 检 出 的 磁头 和 柱 面 号 作 比 
较 ( 即 寻 道 ) ,然后 寻找 要 求 的 扇 区 号 。 待 控制 器 找到 该 扇 区 头 标 时 ,根据 其 任务 是 写 扇 区 还 是 
读 扇 区 ,来 决定 是 转换 写 电 路 ,还 是 读 出 数据 和 尾部 记录 。 找 到 扇 区 后 ,控制 器 必须 在 寻找 下 
一 个 扇 区 之 前 对 该 扇 区 的 信息 进行 后 处 理 。 如 果 是 读数 据 ,控制 器 计算 出 此 数据 的 ECC 码 ， 
然后 ,把 ECC 码 与 已 记录 的 ECC 码 相 比较 。 如 果 是 写 数 据 ,控制 器 计算 出 此 数据 的 ECC 码 ， 
与 数据 一 起 存储 。 在 控制 器 对 此 扇 区 中 的 数据 进行 必要 处 理 期 间 , 盘 片 继续 旋转 。 


2.1.2 硬盘 主要 接口 技术 

硬盘 接口 是 连接 硬盘 驱动 器 和 主机 板 的 专用 部 件 。 目 前 ,硬盘 接口 类 型 主要 有 6 种 , 即 
IDE 接口 .SCSI 接口 .SATA 接口 .SAS 接口 IEEE 1394 接口 和 USB 接口。 

1. IDE 接口 


IDE(Integrated Drive Electronics) 接 口 也 称 ATA( Advanced Technology Attachment) 接 
口 ,含义 是 “高 级 技术 附加 装置 *。IDE 接口 是 目前 最 主流 的 硬盘 接口 之 一 。 经 过 数 年 的 发 展 ， 
其 变 得 更 加 成 熟 、 廉 价 和 稳定 。IDE 接口 使 用 一 条 40 芯 的 扁平 电缆 将 硬盘 与 主板 连接 起 来 ， 
每 条 扁平 电缆 线 最 多 可 以 连接 两 个 IDE 接口 的 硬盘 或 光驱 。 所 有 IDE 接口 的 硬盘 都 使 用 相 
同 的 40 针 连 接 器 ,其 结构 如 图 2. 5 所 示 。 


2. SCSI 接口 


SCSI(Small Computer System Interface) 接 口 出 现 主 要 是 因为 其 硬盘 转速 慢 、 传 输 速 率 
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40-Pin ATA-Bus 4-Pin DC 
Interface Connector Pin 1 PowerConnector 


图 2.5 硬盘 IDE 接口 图 


低 。 其 实 SCSI 并 不 是 专 为 硬盘 设计 , 它 实际 上 是 一 种 总 线 型 接口 。 由 于 独立 于 系统 总 线 工 
作 , 它 的 最 大 优势 在 于 : 系统 占用 率 低 、 转 速 快 .传输 率 高 。 不 足 之 处 在 于 : 价格 高 ,安装 不 方 
便 ,还 需要 设置 及 安装 驱动 程序 ,因此 这 种 接口 的 硬盘 大 多 用 于 服务 器 等 。 
SCSI 接口 的 硬盘 目前 主要 有 : 50 芯 .68 ASI 80 3 种 ,这 3 种 SCSI 接口 结构 如 图 2. 6 
所 示 。 
50-Pin SCSI-Bus 4-Pin DC 
Interface Connector Pin 1 Power Connector 


HITGOSSI 


68-Pin SCSI-Bus 12-Pin Auxilliary 4-Pin DC Power 


Interface Connector Pin Connector Pin Connector 


80-Pin SCSI SCA Connector 
了 


lu 
Pin 1 


Æ 2.6 SCSI 接口 图 


随 着 IDE 技术 的 发 展 ,如 今 IDE 接口 的 硬盘 在 容量 和 速度 上 已 与 SCSI 接口 硬盘 相差 
无 几 。 


3. SATA 接口 


串 行 ATA(Serial ATA,SATA) 接 口 是 一 种 完全 不 同 于 并 行 ATA 的 新 型 硬盘 接口 类 型 ， 
由 于 采用 串 行 方式 传输 数据 而 得 名 。SATA 总 线 使 用 嵌入 式 时 钟 信 
号 ,具备 了 更 强 的 纠 错 能 力 , 与 以 往 相 比 ,其 最 大 的 区 别 在 于 能 对 传 
输 指令 进行 检查 ,如 果 发 现 错误 会 自动 矫正 ,这 在 很 大 程度 上 提高 了 
数据 传输 的 可 靠 性 。 串 行 接口 还 具有 结构 简单 、 支 持 热 插 拔 等 优点 。 
SATA 接口 如 图 2.7 所 示 。 
Serial ATA 接线 较 传 统 的 并 行 ATA(Paralle ATA,PATA) 接 
线 要 简单 得 多 ,具有 占用 空间 小 .扩充 性 强 、 可 以 外 置 等 特点 ,目前 许 SATA 


多 台式 计算 机 都 使 用 这 种 接口 的 硬盘 。 图 2.7 SATA 接口 图 


4. SAS 接口 

SAS(Serial Attached SCSI) 即 串 行 连接 SCSI. 是 新 一 代 的 SCSI 技术 ,和 现在 流行 的 
Serial ATA(SATA) 硬 盘 相 同 ,都 是 采用 串 行 技术 以 获得 更 高 的 传输 速度 ,并 通过 缩短 连接 线 
以 改善 内 部 空间 等 。SAS 是 并 行 SCSI 接口 之 后 开发 出 的 全 新 接口 。 此 接口 的 设计 是 为 了 改 
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善 存储 系统 的 效能 .可 用 性 和 扩充 性 ,并 且 提 供与 SATA 硬盘 的 兼容 性 。 


5. IEEE 1394 接口 


IEEE 1394 接口 是 为 增强 外 部 多 媒体 设备 与 计算 机 连接 性 能 而 设计 的 高 速 串 行 总 路 线 ， 
传输 速率 可 以 达到 400MB/s, 利 用 IEEE 1394 技术 可 以 轻易 地 将 计算 机 与 摄像 机 、 高 速 硬盘 、 
音响 设备 等 多 媒体 设备 连接 在 一 起 。IEEE 1394 接口 的 主要 优点 是 : 即时 传输 数据 .支持 热 
搬 拔 、 驱 动 程序 安装 简易 、 接 口 速度 快 等 ; 缺点 是 : IEEE 1394 硬盘 需要 价格 昂贵 的 IEEE 
1394 硬盘 适配器 。 


6. USB 接口 


通用 串 行 总 线 C Universal Serial Bus, USB) 接口 是 于 1994 年 底 由 Compaq, IBM, 
Microsoft 等 多 家 公司 联合 提供 的 。USB 接口 不 需要 单独 的 供电 系统 ,而 且 还 支持 热 插 拔 。 
在 软件 方面 ,针对 USB 设计 的 驱动 程序 和 应 用 软件 支持 自动 启动 ,无 须 用 户 作 更 多 的 设置 ; 
同时 ,USB 接口 有 自己 的 保留 中 断 ,不 会 争夺 其 他 资源 。 

USB 接口 优点 是 : 价格 低廉 .连接 简单 快捷 、 兼 容 性 强 . 扩 展 性 好 、 速 度 快 等 。 缺 点 是 : 
USB 接口 之 间 的 通信 效率 低 .连接 电缆 较 短 。 


2.1.3 硬盘 性 能 指标 


1. 转速 


转速 是 电机 主轴 的 旋转 速度 ,也 就 是 硬盘 盘 片 在 一 分 钟 内 所 能 完成 的 最 大 旋转 速度 。 转 
速 的 快慢 是 标识 硬盘 档次 的 重要 参数 之 一 , 它 是 决定 硬盘 内 部 传输 率 的 关键 因素 之 一 ,在 很 大 
程度 上 直接 影响 到 硬盘 的 速度 。 转 速 越 快 ,硬盘 读 / 写 数 据 的 时 间 也 就 越 短 , 相 对 硬盘 的 传输 
速度 也 就 越 快 。 转 速 以 每 分 钟 多 少 转 来 表示 ,单位 表示 为 RPM(Revolutions Per Minute, B 
转 /分 钟 )。RPM 值 越 大 ,内 部 传输 率 就 越 快 ,访问 时 间 就 越 短 ,硬盘 的 整体 性 能 也 就 越 好 。 硬 
盘 的 主轴 马达 带动 盘 片 高 速 旋转 ,产生 浮力 使 磁头 飘浮 在 盘 片上 方 。 因 此 ,转速 在 很 大 程度 上 
决定 了 硬盘 的 速度 。 

普通 台式 计算 机 的 硬盘 转速 一 般 为 5400RPM 和 7200RPM 两 种 ,高 转速 硬盘 也 是 现在 台 
式 机 用 户 的 首选 ; 而 对 于 笔记 本 用 户 则 是 以 4200RPM、5400RPM 为 主 ,虽然 已 经 有 公司 发 布 
T 7200RPM 的 笔记 本 硬盘 ,但 在 市 场 中 还 较为 少见 ; 服务 器 用 户 对 硬盘 性 能 要 求 最 高 ,服务 
器 中 使 用 的 SCSI 硬盘 转速 基本 都 采用 10000RPM ,甚至 还 有 15000RPM 的 ,性 能 要 超出 家 用 
产品 很 多 。 


2. 平均 寻 道 时 间 


平均 寻 道 时 间 (Average Seek Time) 是 了 解 硬盘 性 能 至 关 重 要 的 参数 之 一 。 它 是 指 硬 盘 
在 接收 到 系统 指令 后 ,磁头 从 开始 移动 到 数据 所 在 的 磁道 所 花费 时 间 的 平均 值 , 它 在 一 定 程度 
上 体现 了 硬盘 读 取 数 据 的 能 力 , 是 影响 硬盘 内 部 数据 传输 率 的 重要 参数 ,单位 为 毫秒 (ms) 。 
不 同 品牌 ,不 同型 号 的 产品 其 平均 寻 道 时 间 也 不 一 样 , 这 个 时 间 越 低 , 则 产品 越 好 ,现今 主流 硬 
盘 平 均 寻 道 时间 都 在 9ms 左右 。 
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3. 数据 传输 率 


数据 传输 率 是 衡量 硬盘 速度 的 一 个 重要 参数 , 它 与 硬盘 的 转速 、 接 口 类 型 .系统 总 线 类 型 
有 很 大 关系 , 它 是 指 计算 机 从 硬盘 中 准确 找到 相应 数据 并 传输 到 内 存 的 速率 ,以 每 秒 可 传输 多 
少 兆 字 节 ( 即 MB/s) 来 衡量 ,IDE 接口 目前 最 高 的 是 133MB/s,SATA 已 经 达到 了 150MB/s。 

数据 传输 率 分 为 外 部 传输 率 (External Transfer Rate) 和 内 部 传输 率 (Internal Transfer 
Rate) 两 种 。 外 部 传输 率 也 称 为 突 发 数据 传输 率 (Burst Data Transfer Rate) 或 接口 传输 率 , 是 
指 从 硬盘 的 缓存 中 向 外 输出 数据 的 速度 ; 而 内 部 传输 率 也 称 为 持续 传输 率 (Sustained 
Transfer Rate) ,是 指 硬盘 在 盘 片 上 读 / 写 数据 的 速度 。 
于 硬盘 的 内 部 传输 率 要 小 于 外 部 传输 率 ,所 以 内 部 传输 率 的 高 低 才 是 评价 一 个 硬盘 整 
体 性 能 的 决定 性 因素 ,只 有 内 部 传输 率 才 可 以 作为 衡量 硬盘 性 能 的 真正 标准 。 一 般 来 说 ,在 硬 
盘 的 转速 相同 时 , 单 碟 容 量 越 大 , 则 硬盘 的 内 部 传输 率 越 大 ; 在 单 碟 容 量 相同 时 ,转速 高 的 硬 
盘 内 部 传输 率 也 高 ; 在 转速 与 单 碟 容 量 相 差不多 的 情况 下 ,新 推出 的 硬盘 由 于 处 理 技 术 先进 ， 
所 以 它 的 内 部 传输 率 也 会 较 高 。 


4. 缓存 


缓存 (Cache Memory) 是 硬盘 控制 器 上 的 一 块 内 存 芯片 ,具有 极 快 的 存 取 速 度 , 它 是 硬盘 
内 部 存储 和 外 界 接口 之 间 的 缓冲 器 。 由 于 硬盘 的 内 部 数据 传输 速度 和 外 界 介面 传输 速度 不 
同 , 缓 存在 其 中 起 到 一 个 缓冲 作用 。 缓 存 的 大 小 与 速度 是 直接 关系 到 硬盘 传输 速度 的 重要 因 
素 ,能 够 显著 影响 硬盘 整体 性 能 。 当 硬盘 存 取 零 碎 数据 时 需要 不 断 地 在 硬盘 与 内 存 之 间 交 换 
数据 ,可 以 将 零碎 数据 暂 存在 缓存 中 ,这 样 不 仅 减 小 系统 的 负荷 ,同时 也 提高 了 数据 的 传输 
速度 。 

5. 平均 潜伏 期 


平均 潜伏 期 (Average Latency) 指 当 磁头 移动 到 硬盘 盘 片 数 据 所 在 的 磁道 后 ,然后 等 待 所 
要 的 数据 块 继续 转动 到 磁头 下 的 时 间 , 单 位 为 毫秒 (ms)。 平 均 潜伏 期 越 小 表示 硬盘 读 取 数据 
的 等 待 时 间 也 就 越 短 ,硬盘 数据 传输 率 也 就 越 快 。 


2.1.4 盘面 、 磁 道 、 柱 面 与 扇 区 


硬盘 的 读 / 写 操作 与 扇 区 有 着 紧密 关系 。 
1. 盘面 


硬盘 盘 片 一 般 用 铝 合金 材料 做 基 片 ,高 速 硬盘 也 可 能 用 玻璃 做 基 片 。 硬 盘 的 每 一 个 盘 片 
都 有 两 个 盘面 , 即 上 、 下 盘面 ,一 般 每 个 盘面 都 会 利用 ,都 可 以 存储 数据 ; 也 有 的 硬盘 只 使 用 一 
个 盘面 。 硬 盘 的 每 一 个 盘面 有 一 个 盘面 号 , 按 顺序 从 上 至 下 从 “0” 开 始 依 次 编号 。 由 于 每 个 盘 
面 对 应 一 个 读 / 写 磁头 ,所 以 有 时 候 也 将 盘面 号 称 作 磁头 号 。 


2. 磁道 


硬盘 盘 片 在 低级 格式 化 时 被 划分 成 许多 同心 圆 , 这 些 同 心 圆 轨 迹 称 作 磁道 (Track)。 磁 


第 2 章 硬盘 相关 知识 介 


道 从 外 向 内 从 “0” 开 始 顺 序 编 号 。 硬 盘 的 每 一 个 盘面 大 约 有 300 一 1024 个 磁道 不 等 ,新式 大 容 
量 硬盘 每 面 的 磁道 数 更 多 。 信 息 以 脉冲 串 的 形式 记录 在 这 些 轨迹 中 ,这 些 同心 圆 不 是 连续 记 
录 数 据 , 而 是 被 划分 成 一 段 段 的 圆 弧 ,这 些 圆 弧 的 角速度 一 样 。 由 于 径 向 长 度 不 一 样 ,所 以 , 线 
速度 也 不 一 样 ,外 圈 的 线 速度 较 内 圈 的 线 速度 大 , 即 同样 的 转速 下 ,外 圈 在 相同 时 间 段 里 , 划 过 
的 圆 弧 长 度 要 比 内 圈 划 过 的 圆 弧 长 度 大 。 每 段 圆 弧 叫 作 一 个 扇 区 , 扇 区 从 *1? 开 始 编号 ,每 个 
扇 区 中 的 数据 作为 一 个 单元 同时 读 出 或 写 信 。 一 个 标准 的 3. 5 寸 硬盘 盘面 通常 有 几 百 到 几 千 
条 磁道 。 磁 道 是 “看 "不见 的 ,只 是 盘面 上 以 特殊 形式 磁化 了 的 一 些 磁化 区 ,在 硬盘 低级 格式 化 
时 就 已 规划 完毕 。 


3. 柱 面 


所 有 盘面 上 的 同一 磁道 构成 一 个 圆柱 ,通常 称 作 柱 面 (Cylinder) ,每 个 圆柱 上 的 磁头 由 上 
而 下 从 “0” 开 始 编号 。 数 据 的 读 / 写 按 柱 面 进行 , 即 磁头 读 / 写 数据 时 首先 在 同一 柱 面 内 从 “0” 
磁头 开始 进行 操作 ,依次 向 下 在 同一 柱 面 的 不 同 盘面 即 磁头 上 进行 操作 ,同一 柱 面 所 有 的 磁头 
全 部 读 / 写 完 毕 后 ,磁头 才 转 移 到 下 一 柱 面 ,因为 选取 磁头 只 需 通 过 电子 切换 即 可 ,而 选取 柱 面 
则 必须 通过 机 械 切 换 。 电 子 切换 相当 快 , 比 在 机 械 上 磁头 向 邻近 磁道 移动 快 得 多 ,所 以 ,数据 
的 读 / 写 按 柱 面 进行 ,而 不 按 盘 面 进行 。 也 就 是 说 ,一 个 磁道 写 满 数 据 后 ,就 在 同一 柱 面 的 下 一 
个 盘面 来 写 ,一 个 柱 面 写 满 后 , 才 移 到 下 一 个 扇 区 开始 写 数据 。 读 数据 也 按照 这 种 方式 进行 ， 
这 样 就 提高 了 硬盘 的 读 / 写 效率 。 

一 块 硬盘 驱动 器 的 圆柱 数 (或 每 个 盘面 的 磁道 数 ) 既 取决 于 每 条 磁道 的 宽窄 ,同样 也 与 磁 
头 的 大 小 有 关 , 也 取决 于 定位 机 构 所 决定 的 磁道 间 步 距 的 大 小 。 


4. AE 


硬盘 上 的 数据 以 扇 区 为 存储 单元 ,每 个 扇 区 的 大 小 由 低级 格式 化 来 确定 ,一 般 取 值 为 512 
字 节 、1024 字 节 、2048 字 节 或 者 4096 字 节 等 等 ; 通常 一 个 扇 区 的 大 小 为 512 字 节 ( 注 : 存储 数 
据 区 的 大 小 )。 

一 个 扇 区 的 结构 大 致 如 图 2. 8 所 示 , 从 图 2.8 扇 区 头 标 包括 扇 区 上 
可 知 ,一 个 扇 区 主要 巾 两 部 分 组 成 , 即 扇 区 头 标 和 (urs ETAO. 
BOEK, BDE PR H 28 PC 0039 PU g 8 31 A P< l saka siasa h dl 
的 状态 组 成 , 扇 区 的 物理 位 置 包 括 扇 区 所 在 的 磁头 记 区 头 标记 区 数据 U Àx 
号 、 柱 面 号 和 扇 区 号 ,而 扇 区 的 状态 也 就 是 该 扇 区 纠 错 码 、、 

是 否 能 够 可 靠 地 存储 数据 ,还 是 已 发 现 某 个 故障 因 

而 不 宜 使 用 的 标记 。 有 些 硬盘 控制 器 在 扇 区 头 标 

中 还 记录 有 指示 字 , 可 在 原 扇 区 出 错时 指引 盘 片 转 A 
到 替换 扇 区 或 磁道 的 位 置 ; 扇 区 头 标 以 循环 宛 余 AA EE 
校 验 值 作 为 结束 ,以 供 控制 器 检验 扇 区 头 标的 读 出 

情况 ,确保 准确 无 误 。 肩 区 的 数据 区 也 就 是 该 扇 区 

存储 数据 的 区 域 。 


5. 硬盘 容量 的 计算 方式 
硬盘 容量 是 以 MB、GB 和 TB 等 为 单位 ,早期 的 硬盘 容量 较 小 ,一 般 以 MB 为 单位 ,1956 


维 地 址 
息 


区 


后 续 扇 区 


2.8 一 个 完整 的 硬盘 扇 区 结构 
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年 9 月 IBM 公司 制造 的 世界 上 第 一 台 磁 盘存 储 系 统 容量 只 有 SMB 左右 ,经 过 60 多 年 的 发 
展 ,目前 几 百 GB、TB 容量 的 硬盘 已 不 足 为 奇 。 随 着 硬盘 技术 的 不 断 发 展 ,容量 更 大 、 速 度 更 
快 的 硬盘 将 不 断 推出 。 
依据 计算 机 表示 数据 的 特点 数据 的 表示 方式 及 计算 机 本 身 的 运算 方式 ,硬盘 的 容量 单位 
是 以 2 的 次 方 来 表示 , 即 以 KB、MB、GB、TB、PB、EB、ZB、YB 为 单位 ,操作 系统 中 ,硬盘 容量 
各 种 单位 之 间 的 换算 关系 如 下 : 
1KB=2'"B=1024B 
1MB=2"KB=2”B=1 048 576B 
1GB=2"MB=2” KB=2®B=1 073 741 824B 
1TB=2*GB=2*MB=2*KB=2*B=1 099 511 627 776B 
1PB=2W%TB=22GB=2%MB=2%KB=2°%B=1 125 899 906 842 624B 
1EB=2*PB=2*TB=2”GB=2*MB=2”KB=2”B=1 152 921 504 606 846 976B 
1ZB=2" EB=2” PB=2” TB=2"GB=2®MB=2® KB=2"B 
=1 180 591 620 717 411 303 424B 
1YB=2”ZB=2”*EB=2”PB=2" TB=2%GB=2% MB=2%KB=2%B 
=1 028 925 819 614 629 174 706 176B 
在 购买 硬盘 之 后 ,细心 的 用 户 会 发 现 : 在 操作 系统 中 查看 到 的 硬盘 容量 与 厂商 标识 的 容 
量 并 不 相符 ,厂商 标识 的 硬盘 容量 往往 要 多 于 用 户 通过 操作 系统 查看 到 的 容量 ,硬盘 容量 越 大 ， 
这 个 差异 也 就 越 大 。 这 是 因为 硬盘 生产 商 对 硬盘 容量 的 计算 方法 与 操作 系统 的 计算 方法 不 同 。 
例如 : 120GB 的 硬盘 ,硬盘 生产 商 对 硬盘 容量 计算 的 方法 为 
120GB =120 000MB 
=120 000 000KB 
=120 000 000 000 B( 字 节 ) 


而 操作 系统 对 硬盘 容量 计算 的 方法 为 
120 000 000 000B/1024 =117 187 500KB/1024 
一 114 440. 917 968 75MB 
X114GB 
即 硬盘 生产 商标 识 硬 盘 容 量 为 120GB, 而 操作 系统 显示 的 硬盘 容量 为 114GB。 同 时 在 操作 系 
统 中 ,硬盘 还 必须 分 区 和 格式 化 ,这 样 系统 还 会 在 硬盘 上 占用 一 些 空间 ,提供 给 系统 文件 使 用 ， 
所 以 在 操作 系统 中 显示 的 硬盘 容量 和 厂商 标识 的 容量 会 存在 差异 。 


2.1.5 硬盘 寻 址 模式 


通俗 地 说 ,就 是 主板 BIOS 通过 什么 方式 来 查找 硬盘 低级 格式 化 划分 出 来 的 扇 区 位 置 。 
不 同 硬盘 的 容量 ,有 不 同 的 寻 址 模式 。 目 前 硬盘 的 寻 址 模式 主要 有 : CHS 模式 ( 即 柱 面 、 磁 
头 、 扇 区 ) 或 称 为 Normal 模式 .LARGE 模式 和 LBA 模式 ,这 3 种 寻 址 模式 可 在 CMOS 硬盘 
设置 的 MODE 选项 中 选择 。 


1. CHS 寻 址 模式 
CHS 寻 址 模式 将 硬盘 划分 为 磁头 、 柱 面 和 扇 区 。 知 道 了 数据 存储 的 磁头 号 、 柱 面 号 和 扇 
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区 号 ,就 可 以 确定 数据 在 硬盘 上 的 位 置 ; 早期 的 系统 就 是 直接 使 用 磁头 号 、 柱 面 号 和 扇 区 号 来 
对 硬盘 进行 寻 址 ( 称 为 CHS 寻 址 ) ,这 就 需要 知道 每 个 扇 区 的 3 个 参数 , 存 取 硬 盘 数 据 时 再 分 
别 读 取 这 3 个 参数 ,然后 再 送 到 硬盘 控制 器 去 执行 。 
日 于 系统 使 用 8 位 二 进 制 数 来 存储 磁头 号 ,使 用 10 位 二 进 制 数 来 存储 柱 面 号 ,使 用 6 位 
二 进 制 数 来 存储 扇 区 号 ,而 一 个 扇 区 一 般 为 512 字 节 。 因 此 ,使 用 CHS 寻 址 一 块 硬盘 ,最 大 容 
量 =256X1024X63X512B 王 8064MB( 注 : 1MB=1 048 576B; 如 果 按 1MB=1 000 000B 来 算 
就 是 8. 4GB)。 硬 盘 容 量 计算 公式 如 式 (2. 1): 

硬盘 容量 = 磁头 数 X 柱 面 数 X 扇 区 数 X512 FH (2; 1) 


2. LARGE 寻 址 模式 


LARGE 模式 把 柱 面 数 除 以 整数 倍 、 磁 头 数 乘 以 整数 倍 而 得 到 的 逻辑 磁头 / 柱 面 / 扇 区 参 
数 进行 寻 址 ,所 以 表示 的 已 不 再 是 硬盘 中 的 物理 位 置 ,而 是 逻辑 位 置 。 目 前 使 用 LARGE 寻 址 
模式 的 硬盘 已 经 很 少 了 。 


3. LBA 寻 址 模式 


随 着 硬盘 技术 的 不 断 发 展 ,硬盘 的 容量 也 越 来 越 大 ,CHS 模式 无 法 管理 超过 8064MB 的 
硬盘 。 因 此 ,工程 师 们 发 明了 更 加 简便 的 LBA(Logical Block Addressing) 逻 辑 块 寻 址 模式 。 
在 LBA 模式 下 ,硬盘 上 的 一 个 扇 区 由 它 所 在 的 磁头 号 、 柱 面 号 和 扇 区 号 来 确定 。LBA 编 址 方 
式 通过 地 址 译 码 器 将 CHS 三 维 寻 址 方式 转变 为 一 维 的 线性 寻 址 方式 ,将 硬盘 所 有 物理 扇 区 
的 CHS 编号 通过 一 定 的 规则 转变 为 某 一 线性 的 编号 ,系统 效率 得 到 大 大 提高 ,避免 了 繁琐 的 
磁头 号 、 柱 面 号 、 扇 区 号 的 寻 址 方式 。 在 访问 硬盘 时 ,由 硬盘 控制 器 再 将 这 种 逻辑 地 址 转换 为 
实际 硬盘 的 物理 地 址 。 硬 盘 不 再 有 柱 面 、 磁 头 和 扇 区 三 维 定 义 , 而 是 将 硬盘 上 的 所 有 扇 区 依次 
从 “0” 开 始 连 续 编号 ,直到 硬盘 的 最 后 一 个 扇 区 为 止 ; 即 硬盘 0 磁头 0 柱 面 .1 扇 区 为 整个 硬 
盘 的 0 号 证 区 ; 硬盘 0 磁头 .0 柱 面 .2 扇 区 为 整个 硬盘 的 1 号 扇 区 ; 硬盘 0 磁头 .0 柱 面 、3 Bi 
区 为 整个 硬盘 的 2 号 扇 区 ; 以 此 类 推 。 目 前 ,大 多 数 硬盘 都 是 采用 LBA 模式 来 寻 址 ,这 种 存 
取 方 式 与 硬盘 分 区 表 的 LBA 存储 方式 相对 应 。 


2.1.6 硬盘 故障 


硬盘 故障 按 是 否 存在 物理 损坏 ,将 硬盘 故障 分 为 物理 故障 和 人 逻辑 故障 两 大 类 。 
1. 硬盘 物理 故障 


如 果 硬 盘存 在 物理 损坏 , 则 称 为 硬盘 物理 故障 ,常见 的 硬盘 物理 故障 有 以 下 5 种 : 
a) 盘 片 划 伤 。 

(2) 磁头 损坏 。 

(3) 电机 损坏 。 

(4) 硬盘 盘 片上 有 坏 磁 道 。 

(5) 电路 板 及 其 他 元 器 件 损坏 。 

硬盘 存在 物理 故障 的 具体 表现 如 下 : 

(1) 加 电 后 , 读 外 存储 器 速度 明显 变 慢 ,有 时 无 法 读 取 数据 。 


@ 大 话 数据 恢复 


(2) 加 电 后 ,在 CMOS 中 不 认 外 存储 器 ,外 存储 器 伴 有 味 嘻 、 味 嘻 声 。 
(3) 加 电 后 ,在 CMOS 中 不 认 外 存储 器 ,外 存储 器 电机 不 转 。 
(4) 加 电 后 ,在 CMOS 中 不 认 外 存储 器 ,无 任何 声音 。 


2. 硬盘 逻辑 故障 


如 果 硬 盘 在 物理 上 没有 任何 故障 ,只 是 在 逻辑 上 存在 故障 ,这 类 故障 称 为 硬盘 逻辑 故障 ， 
常见 的 硬盘 逻辑 故障 如 下 : 

(1) MBR 被 破坏 : MBR 是 硬盘 的 主 引导 扇 区 ,位 于 硬盘 的 0 磁道 0 柱 面 1 扇 区 ,存储 着 
硬盘 的 主 引 导 记 录 、 磁 盘 签 名 、 分 区 表 和 有 效 标志 。 如 果 MBR 被 破坏 ,计算 机 无 法 从 该 硬盘 
正常 启动 ; 在 BIOS 中 虽然 可 以 读 取 硬盘 的 一 些 参数 ,但 在 操作 系统 下 可 能 无 法 找到 该 硬盘 所 
产生 的 逻辑 盘 。 

(2) 分 区 表 丢 失 : 计算 机 病毒 . 坏 磁 道 、. 误 操作 、 误 用 一 键 恢 复 ( 注 : 许多 品牌 机 具有 的 新 
功能 ) 都 可 能 会 导致 分 区 表 丢 失 。 如 果 分 区 表 丢 失 , 用 户 最 好 不 要 再 做 多 余 的 操作 ,以 免 覆盖 
数据 。 

(3) 误 格 式 化 逻辑 盘 或 误 删除 文件 : 由 于 用 户 操作 失误 ,将 某 一 多 辑 盘 误 格式 化 或 误 删 
除 重要 的 文件 。 

(4) 误 Ghost: 许多 计算 机 软件 安装 人 员 喜 欢 使 用 Ghost 来 安装 系统 ,由 于 操作 不 慎 , 在 
选择 目标 盘 时 ,应 该 选择 C 盘 , 而 安装 人 员 即 误 选择 整个 物理 硬盘 ,系统 安装 完成 后 ,整个 物 
理 硬 盘 只 有 一 个 分 区 表 。 

判断 硬盘 故障 的 初步 方法 如 下 : 

(1) 加 电 后 ,硬盘 没有 任何 反应 ,与 加 电 前 一 样 ,这 种 情况 大 部 分 是 由 于 电路 出 现 故 障 , 硬 
盘 其 他 部 件 一 般 正 常 。 

(2) 接 上 电源 后 ,硬盘 运转 正常 ,在 BIOS 中 可 以 检测 到 ,将 其 挂 为 从 盘 , 在 磁盘 管理 中 ,可 
以 发 现 这 块 硬盘 ,屏幕 显示 "磁盘 未 分 配 ?”。 这 种 情况 基本 上 是 分 区 表 出 错 或 分 区 引导 扇 区 被 
破坏 ,导致 分 区 与 分 区 引导 扇 区 无 法 建立 链接 ,一般 硬盘 本 身 无 物理 故障 。 

(3) 加 电 后 ,硬盘 发 出 噶 噶 的 响声 或 者 其 他 不 正常 的 声音 ,这 时 应 该 马上 切断 电源 ,不 要 
再 试 ,如 果 再 试 几 次 ,有 可 能 磁头 会 将 盘面 划 伤 ,造成 存储 在 盘面 上 的 数据 永久 无 法 恢复 。 

(4) 进入 系统 后 ,可 以 看 到 数据 ,但 是 无 法 访问 或 者 复制 。 这 种 情况 绝 大 部 分 是 由 于 硬盘 
出 现 坏 道 ,还 有 可 能 是 硬盘 固件 出 现 故障 。 如 果 用 硬盘 坏 道 修复 工具 发 现 一 些 特殊 字符 , 则 有 
可 能 是 硬盘 盘面 介质 本 身 质量 存在 问题 。 

(5) 硬盘 运转 正常 ,但 在 BIOS 中 无 法 检测 到 ,这 种 情况 基本 上 是 固件 问题 ,也 可 能 是 硬盘 
初始 化 信息 丢失 。 

(6) 硬盘 被 误 识别 , 绝 大 部 分 是 由 于 磁头 偏 移 , 个 别 品 牌 硬盘 固件 问题 也 会 导致 出 现 这 种 
现象 。 


2.1.7 操作 计算 机 时 需要 注意 的 事项 
为 了 避免 外 存储 器 的 数据 发 生 丢 失 ,平时 操作 计算 机 时 ,应 注意 以 下 4 点 : 


(1) 不 要 剪 切 文件 ,因为 在 剪 切 文件 的 过 程 中 ,有 可 能 会 出 现 突然 断 电 或 出 错 , 这 样 源 盘 
中 的 文件 已 被 删除 ,而 文件 还 没有 完全 复制 到 目标 盘 中 ,从 而 导致 文件 丢失 。 所 以 ,建议 如 果 
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文件 比较 重要 ,可 先 将 文件 复制 到 目标 盘 中 ,确认 目标 盘 中 的 文件 准确 无 误 后 ,再 将 源 盘 中 的 
文件 删除 。 

(2) 不 要 直接 作 磁 盘 碎 片 整 理 , 因 为 磁盘 碎片 整理 过 程 中 可 能 会 出 错 ,一 旦 出 错 ,数据 就 
很 难 恢复 ; 建议 将 文件 复制 到 一 块 空 的 逻辑 盘 中 ,再 格式 化 要 作 磁 盘整 理 的 逻辑 盘 , 然 后 再 将 
文件 复制 到 已 整理 好 的 逻辑 盘 中 。 

O 不 要 用 第 三 方 工具 调整 分 区 ,因为 调整 分 区 过 程 中 也 很 容易 出 错 。 建 议 在 重新 调整 
分 区 之 前 ,备份 好 数据 ,再 使 用 Windows 自 带 的 磁盘 管理 来 调整 分 区 ,安全 性 会 更 高 些 。 

(4) 定期 备份 数据 ,确保 数据 安全 ,最 好 是 刻 盘 备 份 , 比 存储 在 硬盘 里 更 安全 些 。 


2.2 硬盘 分 区 


2.2.1 硬盘 分 区 作用 


一 块 硬盘 经 生产 商 低级 格式 化 后 ,才能 出 厂 销 售 。 对 于 用 户 来 说 ,要 想 在 硬盘 上 存储 数 
据 , 还 要 将 硬盘 再 进行 区 域 划分 ,这 一 过 程 我 们 称 之 为 分 区 ,划分 好 的 每 一 个 分 区 都 有 一 个 确 
定 的 开始 位 置 和 结束 位 置 ; 还 要 逐一 将 划分 好 的 区 域 进行 高 级 格式 化 成 某 种 文件 系统 后 才能 
够 存储 数据 。 硬 盘 分 区 主要 有 以 下 6 个 作用 : 

(1) 便于 对 硬盘 的 规划 与 管理 。 

(2) 有 利于 病毒 防治 与 数据 安全 。 

(3) 提高 硬盘 空间 利用 率 。 

(4) 提高 系统 运行 效率 。 

(5) 便于 为 不 同 用 户 分 配 不 同 的 权限 。 

(6) 在 对 硬盘 进行 整理 时 ,更 能 体会 到 分 区 带 来 的 好 处 。 


2.2.2 硬盘 分 区 类 型 


按 计算 机 结构 和 服务 器 结构 的 不 同 ,可 以 将 分 区 分 为 DOS/Windows 分 区 、Apple 分 区 、 
BSD 分 区 和 Sun Solaris 分 区 等 。 


1. DOS/Windows 分 区 


DOS/ Windows 分 区 体系 一 直 是 Intel IA32 硬件 平台 (i386/X86 等 ) 的 分 区 体系 ,也 是 用 
户 遇 到 最 多 的 分 区 类 型 。 虽然 许多 资料 对 DOS/Windows 分 区 进行 了 介绍 ,但 一 直 没 有 一 个 
统一 的 标准 ,也 没有 一 个 统一 的 命名 规则 。 从 Windows 2000 开始 ,微软 公司 又 引入 了 “基本 
磁盘 ?和 "动态 磁盘 ”的 概念 ,对 应 的 分 区 有 MBR 分 区 、GPT 分 区 和 动态 磁盘 分 区 。 在 DOS / 
Windows 分 区 中 ,各 逻辑 盘 分 区 的 开始 位 置 和 结束 位 置 是 不 能 交叉 的 ,有 些 资料 将 DOS/ 
Windows 分 区 称 作 MBR 分 区 , 详 见 4.2 节 。 

GPT 分 区 是 Windows Server 2003 中 的 一 种 新 型 磁盘 架构 ,是 一 种 由 基于 Itanium 计算 
机 中 的 可 扩展 固件 接口 使 用 的 磁盘 分 区 架构 ,这 种 64 位 的 Itanium 版 本 Windows 系统 采用 
的 磁盘 布局 架构 ,与 传统 的 32 位 磁盘 完全 不 同 。 
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GPT 分 区 的 主要 优点 有 : 支持 唯一 的 磁盘 和 分 区 ; 将 GPT 分 区 表 在 磁盘 的 最 后 做 了 备 
份 ; 每 个 磁盘 最 多 分 区 数 为 128 个 ; 支持 高 达 18 千 兆 兆 字 节 的 卷 大 小 ; 性 能 更 加 稳定 ; 详 见 
4.335. 

动态 磁盘 是 微软 从 Windows 2000 时 代 增 加 的 新 特性 , 它 提供 了 更 加 灵活 的 管理 和 使 用 
特性 ,可 以 在 动态 磁盘 上 实现 数据 的 容错 、 高 速 读 / 写 操作 、 相 对 随意 修改 卷 的 大 小 等 。 


2. Apple 分 区 


苹果 机 于 20 世纪 70 年 代 诞 生 于 美国 ,主要 用 于 图 形 图 像 的 处 理 ,广泛 应 用 于 电影 制作 、 

告 设计 、 排 版 印刷 等 领域 。 苹 果 机 使 用 基于 其 自身 硬件 的 操作 系统 ,是 一 种 基于 UNIX 内 

核 的 操作 系统 ,目前 的 版 本 为 Mac OS X, 苹 果 机 所 使 用 的 Apple 分 区 体系 与 DOS 分 区 体系 统 
不 同 。 


3. BSD 分 区 


BSD 分 区 主要 用 于 BSD UNIX 服务 器 ,如 : Free BSD、Open BSD、Net BSD 等 ,大 多 数 的 
BSD 系统 使 用 基于 32 位 间接 寻 址 的 硬件 平台 ,BSD 分 区 可 以 与 微软 公司 的 产品 共存 于 一 个 
磁盘 上 。 每 个 BSD 分 区 在 磁盘 标签 结构 中 都 有 一 个 类 型 区 域 ,BSD 系统 会 为 磁盘 标签 中 的 每 
个 表 项 建立 一 个 设备 文件 。 


4. Sun Solaris 分 区 
Sun 公司 的 Solaris 操作 系统 主要 应 用 于 大 型 服务 器 和 桌面 系统 ,根据 磁盘 大 小 的 不 同 以 


及 Solaris 版 本 的 不 同 , 使 用 两 种 不 同 的 分 区 方式 。Solaris 的 其 他 版 本 使 用 的 数据 结构 与 
BSD 磁盘 标签 类 似 。Solaris 数据 结构 中 的 有 些 名 字 与 BSD 中 相同 ,但 表示 的 意义 不 一 样 。 


2.3 文件 系统 


2.3.1 文件 系统 定义 


操作 系统 中 负责 管理 和 存储 文件 信息 的 软件 机 构 称 为 文件 管理 系统 (简称 文件 系统 ), 它 
是 操作 系统 的 重要 组 成 部 分 。 从 系统 角度 来 看 ,文件 系统 是 指 对 外 存储 器 空间 按 一 定 的 格式 
进行 有 效 地 组 织 、 分 配 与 管理 ,负责 文件 存储 并 对 存 人 的 文件 进行 保护 、 检 索 等 的 系统 。 具 体 
来 说 , 它 负责 为 用 户 将 存储 在 外 存储 器 上 的 数据 以 文件 的 形式 进行 管理 ,提供 在 外 存储 器 上 建 
立 、 复 制 、 修 改 、 移 动 ,删除 .控制 文件 的 存 取 权 限 等 操作 。 文 件 系统 主要 由 3 部 分 组 成 : 与 文 
件 管理 有 关 软 件 、 被 管理 文件 以 及 实施 文件 管理 所 需 数据 结构 。 


2.3.2 常见 文件 系统 


目前 ,用 户 经 常 使 用 到 的 文件 系统 主要 有 : FAT32、NTFS、exFAT、EXT2、EXT3、UFS、 
GFS.CDFS 等 。 
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1. FAT32 文件 系统 


FAT32 文件 系统 是 硬盘 分 区 格式 中 最 常见 的 一 种 。 采 用 32 位 文件 分 配 表 ,使 其 对 磁盘 
的 管理 能 力 大 大 增强 ,突破 了 FAT16 对 每 一 个 分 区 的 容量 只 有 2GB 的 限制 。 由 于 硬盘 生产 
成 本 下 降 ,容量 越 来 越 大 ,运用 FAT32 分 区 格式 后 ,可 以 将 一 个 大 硬盘 定义 成 一 个 分 区 而 不 
必 再 划分 为 几 个 分 区 使 用 ,大 大 提高 了 对 大 容量 硬盘 的 管理 能 力 。U 盘 、SD F.CF 卡 等 一 般 
都 使 用 FAT32 文件 系统 , 详 见 第 5 章 。 


2. NTFS 文件 系统 


NTFS 文件 系统 (New Technology File System) 随 着 Windows NT 操作 系统 的 诞生 而 产 
生 , 它 是 微软 Windows NT 内 核 的 系列 操作 系统 支持 的 ,特别 为 网 络 、 磁 盘 配 额 ,文件 加 密 等 
管理 安全 特性 而 设计 的 磁盘 格式 。 它 支持 文件 系统 故障 恢复 ,尤其 是 大 存储 媒体 .长 文件 名 
等 。NTFS 文件 系统 的 设计 目标 就 是 用 来 提高 大 容量 硬盘 的 速度 ,如 : 读 / 写 和 搜索 标准 文件 
的 速度 ,快速 恢复 受 损 的 文件 系统 等 。 它 的 主要 优点 是 : 安全 性 高 .稳定 性 好 、 不 易 产 生 文件 
碎片 .提供 容错 结构 日 志 等 , 详 见 第 6 章 。 


3. exFAT 文件 系统 


exFAT 文 件 系 统 (extended File Allocation Table) 是 微软 公司 在 Windows Embeded 6. 0 
(包括 Windows CE6.0、Windows Mobile) 中 引入 的 一 种 适合 于 闪存 的 文件 系统 。 因 为 NTFS 
文件 系统 结构 复杂 , 且 系 统 开销 大 ,在 某 些 场合 (如 : 闪存 、 嵌 入 式 系统 等 ) 并 不 适用 ,这 时 候 
exFAT 是 最 好 的 选择 。 


4. EXT2 和 EXT3 文件 系统 


EXT2 和 EXT3 是 许多 Linux 操作 系统 版 本 的 默认 文件 系统 , 均 基 于 UFS 文件 系统 ,是 
一 种 快速 .稳定 的 文件 系统 。 

随 着 Linux 操作 系统 在 关键 业务 中 的 应 用 ,EXT2 文件 系统 的 弱点 也 渐渐 显露 出 来 ; 其 
中 , 非 日 志 式 是 EXT2 文件 系统 的 一 个 致命 弱点 ; 而 EXT3 文件 系统 直接 从 EXT2 文件 系统 
发 展 而 来 ,目前 EXT3 文件 系统 已 经 非常 稳定 、 可 靠 ; 它 完全 兼容 EXT? 文件 系统 ; 并 弥补 了 
EXT2 文件 系统 非 日 志 式 的 这 一 缺点 。 


5. UFS 文件 系统 


UFS 是 UNIX 文件 系统 的 简称 ,是 大 部 分 UNIX 类 操作 系统 默认 的 基于 磁盘 的 文件 系 
统 ,甚至 Apple 的 OS X 也 能 支持 UFS 文件 系统 。 

在 UFS 中 ,重要 的 数据 结构 贯穿 于 整个 文件 系统 ,并 且 数 据 做 到 了 局 部 化 ,因此 在 读 取 文 
件 的 时 候 , 磁 头 的 运动 量 大 大 降低 。UFS 使 用 “ 柱 面 组 ”对 数据 进行 分 段 组 织 ,每 个 柱 面 组 的 
大 小 与 磁盘 的 几何 特性 关联 。 


6. GFS 文件 系统 


GFS 文件 系统 (Google File System) 是 谷歌 公司 为 了 满足 其 迅速 增长 的 数据 处 理 要 求 , 设 
计 并 实现 的 一 种 大 型 的 .可 扩展 的 、 分 布 式 的 文件 系统 ,主要 用 于 大 型 的 .分 布 式 的 ,对 大 量 数 


& 大 话 数据 恢复 


据 进行 访问 。 它 运行 于 廉价 的 普通 硬件 上 ,可 以 给 大 量 的 用 户 提供 总 体 性 能 较 高 的 服务 ,也 可 
以 提供 容错 功能 。 


7. HFS+ 文 件 系 统 


HFS 十 (HFS Plus) 是 苹果 公司 为 替代 其 分 层 文件 系统 (HFS) 而 开发 的 一 种 文件 系统 。 
它 被 用 在 macintosh 计算 机 (或 者 其 他 运行 Mac OS 的 计算 机 ) 上 。 它 也 是 iPod 上 使 用 的 一 种 
格式 。HFS 十 也 被 称 为 Mac OS Extended( 或 称 为 HFS Extended)。 在 开发 过 程 中 ,苹果 公司 
也 把 这 个 文件 系统 的 代号 命名 为 “Sequoia”, HFS 十 是 一 个 HFS 的 改进 版 本 ,支持 更 大 的 文 
件 , 并 用 Unicode 来 命名 文件 或 文件 夹 ,代替 了 Mac OS Roman 或 其 他 一 些 字符 集 。 


8. CDFS 文件 系统 


CDFS(Compact Disc File System) 是 一 种 适合 光 存储 的 文件 系统 。CDFS 是 指 专门 的 CD 
格式 的 文件 系统 ,只 针对 CD 唱片 ,也 就 是 我 们 平时 说 的 音 轨 。 这 都 是 针对 兼容 计算 机 上 现 有 
的 文件 系统 而 定义 的 ,仅仅 是 为 了 兼容 。 不 能 直接 打开 ,可 以 用 软件 进行 抓 音 轨 。 部 分 U 盘 
也 可 通过 量化 软件 进行 CDFS 系统 化 ,如 : 银行 的 网 银 U 盾 HDZB_USBKEY 就 是 使 用 这 样 
的 方法 。 


9. RAW 文件 系统 


准确 地 说 ,RAW 不 能 认为 是 一 种 文件 系统 , 它 是 一 种 没有 被 Windows 操作 系统 所 识别 
的 文件 系统 。 如 果 ”* 单 击 ” 逻 辑 盘 ,系统 会 提示 “磁盘 未 格式 化 ,是 否 进行 格式 化 ”。 

切记 ! 此 时 “二 万 不 要 对 尝 辑 盘 进 行 格式 化 "操作 。 

排除 此 类 故障 的 基本 思路 方法 和 步骤 在 7. 2 节 中 将 有 详细 介绍 。 

一 般 来 说 ,有 以 下 6 种 情况 ,可 能 造成 正常 文件 系统 变 成 RAW 文件 系统 。 

【情况 1】 分 区 表 所 对 应 逻辑 盘 开始 扇 区 的 DBR 被 破坏 。 

【情况 2] 对 于 FAT32 文件 系统 而 言 ,FAT1 RA FAT2 表 的 开始 值 不 是 “F8 FF FF 
0F”( 存 储 形 式 ) 。 

【情况 3] 如 果 是 刚刚 重 装 系统 ,发 现 有 几 个 逻辑 盘 出 现 * 磁 盘 未 格式 化 ?提示 。 原 因 很 
可 能 是 这 几 个 逻辑 盘 的 文件 系统 都 是 exFAT, 操 作 系 统 还 未 及 时 更 新 ,所 以 不 支持 新 文件 

【情况 4] 如 果 是 无 缘 无 故地 出 现 “ 磁 盘 未 格式 化 "提示, 那 很 可 能 是 文件 系统 结构 损坏 ， 
具体 哪里 被 破坏 则 需要 手工 进行 分 析 。 

【情况 5】 如 果 是 U 盘 出 现 * 磁 盘 未 格式 化 提示 , 则 需要 查看 设备 状态 是 否 良好 。 如 果 
良好 ,一 般 是 软 故障 ; 如 果 是 无 媒体 或 不 可 读 取 , 则 是 硬件 故障 。 

【情况 6] 如 果 U 盘 分 区 表 被 破坏 后 ,U 盘 分 区 表 所 对 应 的 文件 系统 也 会 变 成 RAW X: 
件 系统 。 

解决 问题 需要 对 症 下 药 , 如 果 是 分 区 表 被 破坏 , 则 需要 恢复 对 应 的 分 区 表 ; 如 果 逻 辑 盘 的 
FAT32_DBR 或 NTFS_DBR 被 破坏 , 则 需要 恢复 FAT32_DBR 或 NTFS_DBR; 对 于 FAT32 
文件 系统 而 言 ,如 果 FATI 表 和 FAT2 表 的 开始 值 不 是 *F8 FF FF OF”( 存 储 形式 ), 则 将 
FAT1 表 和 FAT2 表 的 开始 值 修改 为 "F8 FF FF OF”( 存 储 形式 ) ,等 等 。 
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硬盘 主要 部 件 有 哪些 ? 其 作用 是 什么 ? 

目前 硬盘 的 接口 类 型 有 哪 几 种 ? 

硬盘 的 性 能 指标 有 哪 几 种 ? 

平时 操作 计算 机 时 应 注意 哪些 事项 ? 

硬盘 生产 商 对 硬盘 容量 的 计算 公式 与 操作 系统 对 硬盘 容量 的 计算 公式 有 何不 同 ? 
目前 硬盘 的 寻 址 方式 有 哪 几 种 ?各 有 何 特点 ? 最 常用 的 是 哪 种 寻 址 方式 ? 

什么 是 文件 系统 ? 它 由 哪 几 部 分 组 成 ? 目前 常见 的 文件 系统 主要 有 哪些 ? 

你 家 或 者 办 公 室 里 的 计算 机 硬盘 被 划分 为 几 个 分 区 ? 每 个 分 区 分 别 是 什么 文件 


你 的 U 盘 被 划分 为 几 个 分 区 ? 每 个 分 区 分 别 是 什么 文件 系统 ? 

exFAT 文件 系统 主要 用 于 哪 种 外 存储 器 ?你 使 用 过 exFAT 文件 系统 吗 ? 
Ext3 文件 系统 是 哪 种 操作 系统 默认 的 文件 系统 ? 

UNIX 操作 系统 主要 使 用 哪 种 文件 系统 ? 

CDFS 文件 系统 主要 用 于 哪 种 外 存储 器 ? 

当 你 使 用 U 盘 或 硬盘 时 ,如 果 出 现 文件 系统 是 RAW ,主要 原因 有 哪些 ? 


O a 


虚拟 硬盘 工具 与 WinHex 的 使 用 


3.1 虚拟 硬盘 工作 原理 


《数据 恢复 ) 是 一 门 实践 性 非常 强 的 课程 ,学 生 在 学 习 该 课程 的 过 程 中 ,需要 做 大 量 的 实 
验 ; 如 果 使 用 真实 环境 , 则 需要 大 量 的 硬盘 作为 实验 素材 ,并 且 要 花费 更 多 时 间 ,给 这 一 门 课 
程 的 开设 带 来 一 定 的 困难 。 因 此 ,使 用 虚拟 硬盘 不 仅 可 以 在 较 短 的 时 间 内 让 学 生 掌握 硬盘 分 
区 和 文件 系统 的 一 些 基 本 原理 ,而 且 还 能 获得 更 多 的 实践 经 

虚拟 硬盘 的 工作 原理 是 在 硬盘 中 划 出 一 定 的 空间 ,并 将 这 片 空间 虚拟 成 一 块 独立 的 物理 
硬盘 或 好 辑 盘 。 用 户 在 使 用 虚拟 硬盘 时 ,感觉 与 真实 物理 硬盘 或 逻辑 盘 没 有 区 别 。 这 样 ,我们 
可 以 像 对 待 真实 硬盘 那样 来 对 虚拟 硬盘 进行 分 区 格式 化 删除 文件 等 各 种 破坏 性 的 操作 。 


3.2 虚拟 硬盘 工具 InsPro Disk 使 用 介绍 


虚拟 硬盘 工具 种 类 较 多 ,其 中 : InsPro Disk 是 一 款 比 较 优 秀 的 软件 ,该 软件 由 陆 麟 编写 。 
其 特点 是 : 软件 短小 .安装 使 用 方便 ,大 部 分 版 本 都 是 免费 提供 的 。InsPro Disk 比较 常用 的 
版 本 有 InsPro Disk 2. 0 和 InsPro Disk 2.8, InsPro Disk 2. 0 可 以 用 于 Windows 2000 和 
Windows XP 操作 系统 。 但 不 能 用 于 Windows 2003 和 Windows 7 操作 系统 。 对 于 初学 者 而 
言 ,建议 使 用 InsPro Disk 2.0。 


3.2.1 安装 InsPro Disk 

InsPro Disk 安装 程序 只 是 用 WINRAR 简单 包装 的 一 个 应 用 ,用 户 将 其 解压 并 安装 即 
n. InsPro Disk 软件 安装 完毕 后 ,在 程序 菜单 中 出 现 两 个 程序 运行 快捷 方式 ,一 个 是 “Disk 
Creator”, 另 一 个 是 “InsPro Disk Loader”, 默 认 安装 目录 为 C:\Program Files\InsPro。 


3.2.2 #D#k& InsPro Disk 


HI InsPro Disk 的 方法 如 下 : 
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(1) 将 所 有 的 InsPro Disk 用 InsPro Disk Loader HRH. 

D 打开 设备 管理 器 。 操 作 步 又: 右 击 * 我 的 电脑 ”属性 ”一 硬件 ”设备 管理 器 ”。 

(3) Æ IDE ATA/ATAPI 控制 器 中 找到 SECU-X BUS Disk Controler, 右 击 , 从 快捷 菜单 
中 选择 * 印 载 ”。 

(4) 删除 安装 目录 , 注 : 默认 安装 目录 为 C:\Program Files\InsPro。 

(5) 删除 C:\windows( winnt) \system32\ drivers 目录 中 的 SDBUS. SYS 和 SDDISK. 
SYS 文 件 。 


3.2.3 InsPro Disk 使 用 介绍 


InsPro Disk 的 主要 作用 是 创建 一 个 虚拟 硬盘 文件 ,加 载 / 印 载 虚拟 硬盘 文件 ; 其 中 : Disk 
Creator. exe 用 于 建立 虚拟 硬盘 文件 ,虚拟 硬盘 文件 默认 路 径 为 : C:\Program Files\InsPro\ 
SdDisk; 而 DiskLoader. exe 则 用 于 加 载 / 印 载 虚 拟 硬盘 文件 。 

例 3.1 使 用 DiskCreator 创建 一 个 虚拟 硬盘 文件 ,文件 名 为 abc. hdd, 文 件 大 小 为 
200MB。 操 作 步 又 如 下 : 

(1) 启动 Disk Creator. exe 后 ,出现 “Inside Programming Virtual Disk Creator” 窗 口 。 

(2) 在 “Virtual Hard disk filename: ”下方 的 文本 框 中 输入 文件 名 “abc. hdd”, fE“ Virtual 
Hard Disk Size:” 右 侧 的 文本 框 中 输入 *200”, 如 图 3. 1 所 示 , 单 击 “Create" 按 钮 即 可 。 注 : 虚 
拟 硬盘 文件 存储 在 默认 路 径 下 ,文件 大 小 计量 单位 : MB; 虚拟 硬盘 文件 建立 后 , 它 还 只 是 一 
个 文件 ,只 有 加 载 后 才 会 变 成 一 个 虚拟 硬盘 。 
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图 3.1 创建 虚拟 盘 文件 


例 3.2 使 用 Disk Loader 加 载 刚才 创建 的 虚拟 硬盘 文件 ,操作 步骤 如 下 : 

(1) 启动 InsPro Disk Loader, Hi “Inside Programming Disk Loader” 窗 口 。 

(2) 单 击 “Brower” 选 择 虚拟 硬盘 文件 , 注 : 刚才 建立 的 虚拟 盘 文 件 abc. hdd 存储 在 C:\ 
Program Files\InsPro\SdDisk 目录 下 ,如 图 3. 2 所 示 。 

(3) 单 击 “Load/Unload” 按 钮 ,第 一 次 加 载 虚拟 硬盘 文件 则 会 弹出 * 找 到 新 的 硬件 向 导 ” 
窗口 ,如 图 3. 3 所 示 ; 此 时 单 击 “ 下 一 步 "按钮 。 


asaan [osea + Q c+ En- 


E ES W 
abe. hda 216,578 xB 109 文件 20| 
a e = 1] x= 
文件 名 0D: [ke aa aro) 


KARBO): [Virtaa Kara Dink Fuss ea S] — mm 
厂 ARIESEIF oo 


图 3.2 加 载 虚拟 磁盘 文件 图 3.3 磁盘 初始 化 和 转换 向 导 
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(4) 出 现 “ 选 择 要 初始 化 的 磁盘 ”窗口 ,选择 “磁盘 3” 前 的 复 选 框 ,如 图 3.4 所 示 ; 此 时 单 
击 “ 下 一 步 ” 按 钮 。 

(5) 出 现 “ 选 择 要 转换 的 磁盘 ”窗口 ,请 不 要 选择 “磁盘 3” 前 的 复 选 框 ; 如 图 3.5 所 示 ; 此 
“下 一 步 ” 按 钮 ; 注 : 如 果 选 择 “ 磁 盘 3” 前 的 复 选 框 , 则 将 该 虚拟 硬盘 转换 成 动态 磁盘 。 
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图 3.4 选择 初始 化 磁盘 图 3.5 不 转换 动态 磁盘 

(6) 出 现 “ 正 在 完成 磁盘 初始 化 和 转换 向 导 ” 窗 口 ,如 图 3. 6 所 示 , 单 击 “ 完 成 "按钮 ; 此 时 
虚拟 盘 文件 已 经 转换 成 了 虚拟 硬盘 ,可 以 将 其 作为 硬盘 使 用 。 

(7) 完成 以 上 操作 后 ,在 “Inside Programming DiskLoader” 窗 口中 会 出 现 “1 C:\ 
ProgramFiles\InsPro\SdDisk\abc. hdd”; 表示 虚拟 硬盘 文件 已 加 载 成 功 ; 其 中 的 “1” 表 示 虚 
拟 硬 盘 加 载 的 次 数 ,如 图 3.7 所 示 , 此 时 单 击 *Exit” 按 钮 退出 。 
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Slot Beber | File Name 
1 C:\Program Files\InsProiSdDi sk\abe hdd 


图 3.6 磁盘 初始 化 完成 图 3.7 选中 虚拟 盘 文 件 abc. hdd 


(8) 在 “计算 机 管理 ”>“ 磁 盘 管理 ”中 可 以 看 到 刚才 加 载 的 虚拟 磁盘 ,如 图 3. 8 所 示 。 此 
时 可 以 对 虚拟 磁盘 进行 分 区 ,格式 化 等 操作 ,这 些 操作 与 对 真实 硬盘 的 操作 没有 区 别 。 
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图 3.8 附加 虚拟 盘 文 件 abc. hdd 后 的 虚拟 磁盘 3 


3.3 Windows 7 虚拟 硬盘 工具 使 用 介绍 


Windows 7 自 带 虚拟 硬盘 工具 ,用 户 可 以 直接 使 用 虚拟 硬盘 工具 来 创建 .附加 和 分 离 虚拟 


硬盘 文件 ,操作 非常 方便 。 下 面 分 别 以 实例 的 形式 介绍 虚拟 硬盘 文件 的 创建 .附加 和 分 离 等 
操作 。 
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3.3.1 创建 虚拟 硬盘 文件 


在 Windows 7 操作 系统 下 ,创建 虚拟 硬盘 文件 的 操作 方法 是 : 选择 “计算 机 管理 ”>“ 磁 盘 
管理 ”, 在 菜单 栏 中 选择 “创建 VHD”, 按 步骤 分 别 输入 虚拟 硬盘 文件 名 、 存 储 位 置 和 文件 大 
小 , 即 可 完成 虚拟 硬盘 文件 的 “创建 "工作 ,创建 好 的 虚拟 硬盘 文件 扩展 名 为 “. vhd”。 

例 3.3 在 DD 盘 的 根 目录 下 创建 一 个 文件 名 为 abed. vhd 的 虚拟 硬盘 文件 ,文件 大 小 为 
500MB。 操 作 步 又 如 下 : 

(1) 将 光标 移动 到 桌面 上 “计算 机 "图标 处 , 右 击 ,从 弹出 的 快捷 菜单 中 选择 “管理 ”, 如 图 3. 9 
所 示 ,出 现 *“ 计 算 机 管理 ”窗口 。 

(2) 在 “计算 机 管理 ”窗口 中 , 单 击 “ 存 储 ”" 下 的 “磁盘 管理 ”; 选择 菜单 栏 上 的 “操作 (A) ”一 
“创建 VHD”, 如 图 3. 10 所 示 ,出 现 * 创 建 和 附加 虚拟 硬盘 ?窗口 。 

G) 在 “创建 和 附加 虚拟 硬盘 ”窗口 的 “位 置 (L): ”下 方 的 文本 框 中 输入 “d:\abcd. vhd”; 
在 “虚拟 硬盘 大 小 (S) :? 右 侧 的 文本 框 中 输入 "500”, 计 量 单位 选择 “MB”; 虚拟 硬盘 格式 选择 
“固定 大 小 (推荐 )(F)”; 如 图 3. 11 所 示 , 单 击 “ 确 定 ” 按 钮 。 几 秒 钟 后 ,在 DD 盘 的 根 目 录 下 创建 
一 个 名 为 abcd. vhd 的 虚拟 硬盘 文件 ,文件 大 小 为 "500MB”。 
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图 3.9 创建 虚拟 硬盘 文件 图 3.10 创建 VHD 文 件 图 3.11 选择 虚拟 硬盘 文件 


3.3.2 附加 虚拟 硬盘 文件 


在 Windows 7 操作 系统 下 ,附加 虚拟 硬盘 文件 的 操作 方法 是 : 选择 “计算 机 管理 ”磁盘 
管理 ”, 在 菜单 栏 中 选择 “操作 ”>“ 附 加 VHD”, 按 步骤 即 可 完成 “虚拟 硬盘 文件 ”的 附加 工作 。 

例 3.4 MEH D AIR H F HY abcd. vhd 虚拟 硬盘 文件 。 操 作 步 又 如 下 : 

(1) 将 光标 移动 到 桌面 上 “计算 机 ”图 标 处 , 右 击 ,从 弹出 的 快捷 菜单 中 选择 “管理 ”, 出 现 
“计算 机 管理 ”窗口 。 

(2) 在 “计算 机 管理 ”窗口 中 , 单 击 “ 存 储 ”" 下 的 “磁盘 管理 ”; 选择 菜单 栏 上 的 “操作 ”一 “ 附 
加 VHD”, 如 图 3.12 所 示 , 出 现 “ 附 加 虚拟 硬盘 ”窗口 。 

(3) 在 “附加 虚拟 硬盘 ”窗口 “位 置 (L):” 下 方 的 文本 框 中 ,输入 虚拟 硬盘 文件 所 在 盘 符 、 路 
径 以 及 文件 名 “d:\abcd. vhd”; 或 者 通过 “浏览 ”的 方式 获得 虚拟 硬盘 文件 所 在 盘 符 、 路 径 及 文 
件 名 ,如 图 3.13 所 示 , 单 击 “ 确 定 ” 按 钮 ,完成 虚拟 硬盘 文件 的 附加 工作 。 

CD 附加 虚拟 硬盘 文件 后 ,在 计算 机 管理 中 可 以 看 到 虚拟 磁盘 1, 如 图 3. 14 所 示 。 
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3.14 附加 “d:\abcd. vhd” 后 的 虚拟 磁盘 1 
注 : 虚拟 硬盘 文件 创建 完成 后 ,计算 机 会 自动 附加 虚拟 硬盘 文件 为 虚拟 磁盘 。 


3.3.3 初始 化 虚拟 磁盘 


附加 虚拟 磁盘 后 ,在 计算 机 管理 中 可 以 看 到 磁盘 1 ,磁盘 1 还 要 进行 初始 化 后 才能 进行 分 
区 和 格式 化 操作 。 在 Windows 7 平台 下 ,对 磁盘 进行 初始 化 操作 的 成 员 身 份 最 低 要 求 为 
Backup Operators 或 Administrator。 初 始 化 磁盘 的 步骤 如 下 : 

(1) 在 “计算 机 管理 ”的 “磁盘 管理 ”中 , 右 击 要 初始 化 的 磁盘 ,从 弹出 的 快捷 菜单 中 选择 
“初始 化 磁盘 (D”。 

(2) 在 “初始 化 磁盘 ?对 话 框 中 ,选择 要 初始 化 的 磁盘 。 并 选择 磁盘 分 区 形式 , 即 选择 
“MBR( 主 启动 记录 )(M) ?或 者 "GPT(GUID 分 区 表 )(G)" 分 区 形式 。 

例 3.5 对 例 3.4 附加 后 的 虚拟 硬盘 1 进行 初始 化 ,操作 步骤 如 下 : 

(1) 将 光标 移动 到 “磁盘 1” 处 , 右 击 ,从 弹出 的 快捷 菜单 中 选择 “初始 化 磁盘 (1D”; 如 图 3.15 
所 示 , 出 现 “ 初 始 化 磁盘 "窗口 。 

(2) 在 “初始 化 磁盘 ”窗口 中 选择 磁盘 ,由 于 附加 “D:\abcd. vhd” 后 的 虚拟 硬盘 为 磁盘 1， 
选择 “磁盘 1” 前 的 复 选 框 ,“ 磁 盘 分 区 形式 ”选择 “MBR 分 区 ( 主 启动 记录 )(MD) ”形式 ,如 图 3. 16 
所 示 , 单 击 “确定 ”按钮 , 即 可 完成 对 磁盘 1 的 初始 化 。 对 磁盘 1 完成 初始 化 后 , 便 可 以 对 磁盘 
1 按 物 理 硬 盘 的 形式 进行 分 区 和 格式 化 等 操作 。 
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图 3.15 附加 初始 化 虚拟 磁盘 1 3.16 选择 磁盘 分 区 形式 


3.3.4 分 离 虚 拟 硬盘 


如 果 不 再 使 用 虚拟 硬盘 ,可 以 将 虚拟 硬盘 分 离 出 来 。 操 作 方式 是 : 将 光标 移动 到 要 分 离 
的 虚拟 硬盘 前 , 右 击 ,从 弹出 的 快捷 菜单 中 选择 “分 离 VHD”, 即 可 完成 对 虚拟 硬盘 的 分 离 
工作 。 

例 3.6 分 离 例 3.4 附加 后 的 虚拟 硬盘 1, 操 作 步 骤 如 下 : 

(1) 将 光标 移动 到 “磁盘 1” 处 , 右 击 ,从 弹出 的 快捷 菜单 中 选择 “分 离 VHD”; 如 图 3. 17 
所 示 , 出 现 “ 分 离 虚 拟 硬盘 "窗口 。 

(2) 在 “分 离 虚 拟 硬盘 "窗口 中 ,请 确认 虚拟 硬盘 文件 位 置 为 “D:\”, 虚 拟 硬盘 文件 名 为 
“abed. vhd”, 如 图 3. 18 所 示 , 单 击 “ 确 定 ” 按 钮 .完成 虚拟 硬盘 的 分 离 。 
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图 3.17 分 离 VHD 3.18 确定 虚拟 磁盘 文件 位 置 


3.3.5 虚拟 硬盘 文件 的 特点 


使 用 Windows 7 虚拟 硬盘 工具 创建 的 虚拟 硬盘 文件 ,主要 有 以 下 4 个 特点 : 

(1) 虚拟 硬盘 文件 以 “. vhd” 为 扩展 名 。 

(2) 虚拟 硬盘 文件 比 用 户 实际 输入 的 虚拟 硬盘 大 小 多 1 个 肩 区 。 

例如 : 在 例 3. 3 中 ,用 户 创建 的 虚拟 硬盘 文件 abcd. vhd, 输 入 的 虚拟 硬盘 大 小 为 500MB, 
换算 为 1024000 NAK; 实际 上 abcd. vhd 文件 的 总 扇 区 数 为 1024001, 即 abed. vhd 文件 的 实 
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际 大 小 为 500. 0005MB。 

(3) 虚拟 硬盘 文件 的 最 后 一 个 扇 区 存储 着 该 虚拟 硬盘 文件 的 识别 标志 ,该 扇 区 以 
“conectix” 作 为 开始 标志 。 

(4) 一 旦 虚拟 硬盘 文件 的 最 后 一 个 扇 区 被 破坏 ,使 用 计算 机 管理 中 的 磁盘 管理 功能 将 无 
法 附加 该 虚拟 硬盘 文件 , 即 附加 该 虚拟 硬盘 文件 时 会 出 现 * 文 件 或 目录 损坏 且 无 法 读 取 ”提示 。 

针对 Windows 7 虚拟 硬盘 文件 的 特点 ,作者 经 过 多 年 的 实践 ,总 结 出 使 用 Windows 7 虚 
拟 硬 盘 工 具 如 下 几 点 注意 事项 , 仅 供 读者 参考 。 

(1) 虚拟 硬盘 文件 创建 好 后 ,最 好 使 用 WinHex 打开 该 虚拟 硬盘 文件 ,并 将 虚拟 硬盘 文件 
的 最 后 一 个 扇 区 作为 文件 保存 ,文件 名 命名 规则 为 “虚拟 硬盘 总 扇 区 数 . vhd”。 

例如 : 在 例 3. 3 中 ,用 户 创建 的 虚拟 硬盘 文件 abed. vhd, 将 最 后 一 个 扇 区 作为 文件 保存 ， 
其 文件 名 为 “1024001. vhd”。 

(2) 使 用 计算 机 管理 中 的 磁盘 管理 功能 附加 虚拟 硬盘 文件 时 ,如 果 出 现 “ 文 件 或 目录 损坏 
且 无 法 读 取 ”提示 ; 可 以 判断 是 该 虚拟 硬盘 文件 的 最 后 一 个 扇 区 已 损坏 ; 如 果 用 户 已 经 将 虚 
拟 硬 盘 文 件 的 最 后 一 个 扇 区 做 了 备份 ,可 以 使 用 WinHex 软件 打开 备份 文件 ,并 将 备份 文件 
复制 到 该 虚拟 硬盘 文件 的 最 后 一 个 扇 区 即 可 。 

(3) 如 果 用 户 没有 将 虚拟 硬盘 文件 的 最 后 一 个 扇 区 做 备份 ,使 用 WinHex 软件 打开 虚拟 
硬盘 文件 ,并 获得 该 虚拟 硬盘 的 总 扇 区 数 , 将 虚拟 硬盘 的 总 扇 区 换算 为 虚拟 硬盘 的 大 小 (单位 : 
MB) ,假设 为 S; 使 用 计算 机 管理 中 的 磁盘 管理 功能 创建 另 一 个 虚拟 硬盘 文件 ,大 小 为 S; 使 
用 WinHex 软件 打开 该 虚拟 硬盘 文件 ,将 该 虚拟 硬盘 文件 的 最 后 一 个 扇 区 复制 到 受 损 虚 拟 硬 
盘 的 最 后 一 个 扇 区 即 可 。 


3.4 WinHex 简介 


WinHex 是 一 款 非常 优秀 的 磁盘 编辑 软件 ,同时 也 具有 数据 恢复 功能 。 该 软件 功能 非常 
强大 ,有 着 完善 的 分 区 管理 和 文件 管理 功能 ; 能 自动 分 析 分 区 链表 和 文件 簇 链 ; 并 能 以 不 同 
的 方式 进行 不 同 程度 的 备份 ; 具有 不 同方 式 的 查找 、 替 换 功 能 ; 能 显示 和 编辑 任何 一 种 文件 
类 型 的 二 进 制 内 容 ( 注 : 以 十 六 进 制 方式 显示 ); 磁盘 编辑 器 可 以 编辑 物理 磁盘 或 逻辑 磁盘 的 
任何 一 个 扇 区 ; 内 存 编辑 器 可 以 直接 编辑 内 存 。 

WinHex 软件 可 以 在 Windows 98、Windows 2000、Windows XP、Windows 2003 等 平台 
上 运行 ( 注 ; 本 书 以 WinHex 15.1 SR-8 汉化 版 为 例 )。 


3.4.1 安装 WinHex 


WinHex 15. 1 SR-8 汉化 版 只 是 一 文件 ,文件 名 为 ha_winhex. exe。 安 装 过 程 非常 简单 ， 
安装 步骤 如 下 : 

(1) 双击 ha_winhex. exe, 出 现 第 1 个 窗口 后 , 单 击 *“ 下 一 步 (N) 二 ”按钮 。 

(2) 出 现 * 选 择 安装 位 置 ?窗口 ,目标 文件 夹 选 择 默 认 ( 即 C:\Program Files\Winhex) , 单 
击 “ 安 装 (D ”按钮 。 

(3) 出 现 * 正 在 完成 WinHex V15. 1 SR-8 汉化 版 安装 向 导 ” 窗 口 。 单 击 “ 完 成 (F)” 按 钮 ， 
完成 WinHex 软件 的 安装 过 程 。 
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WinHex 软件 安装 完成 后 ,程序 图 标 就 会 出 现在 “开始 一 程序 ~ WinHex” 菜 单 和 桌面 上 。 
3.4.2 启动 WinHex 


双击 桌面 上 的 WinHex 图 标 , 或 者 选择 “开始 一 程序 WinHex” 即 可 启动 WinHex。 第 一 
次 启动 WinHex 后 ,会 弹出 “启动 中 心 ”窗口 ,如 
图 3. 19 所 示 。 

如 果 以 后 要 启动 “启动 中 心 ”, 可 在 菜单 栏 中 先 EE 
择 * 工 具 一 启动 中 心 (S)…” 即 可 。 在 “启动 中 心 " 窗 
口上 方 ,有 4 个 按钮 , 即 “Open File”“ 打 开 磁 盘 ”“ 打 
JE RAM 内 存 ”“ 打 开 文 件 夹 "。 也 可 以 直接 从 
“Recently opened: ”来 选择 需要 打开 的 项 目 。 Tan 

右边 中 间 的 “Cases/Projects:" 为 用 户 有 选择 — 
保留 操作 成 果 提 供 便利 条 件 ; 右边 下 方 的 
“Scripts:" 是 一 个 批 处 理 脚本 编辑 系统 ,可 以 调用 
WinHex 已 经 开发 并 集成 的 各 种 函数 指令 进行 图 3.19 “启动 中 心 "对 话 要 
编辑 。 

用 户 可 以 通过 启动 中 心 来 完成 对 文件 .磁盘 、 内 存 和 文件 夹 的 打开 ,也 可 以 通过 菜单 或 工 
具 栏 上 相应 按钮 来 完成 。 其 中 ,打开 磁盘 是 数据 恢复 工作 中 最 常用 的 一 项 。 用 户 可 以 在 启动 
中 心 窗口 中 选择 “打开 磁盘 "按钮 或 选择 菜单 栏 上 的 “工具 一 打开 磁盘 (D) …" 来 打开 磁盘 。 

打开 磁盘 的 方式 有 两 种 , 即 打开 “Logical Drive Letters”( 逻 辑 驱动 器 ) 和 “Physical Media” 
(物理 磁盘 ); 打开 逻辑 磁盘 和 物理 磁盘 的 区 别 如 下 。 

(1) 打开 逻辑 磁盘 时 ,WinHex 使 用 该 分 区 内 的 文件 系统 参数 来 遍历 整个 分 区 ,可 以 从 文 
件 系统 层面 解释 分 区 内 的 数据 , 即 该 文件 系统 的 开始 户 区 为 多 辑 0 PBC. HE. 每 个 逻辑 盘 
都 有 自己 的 逻辑 0 号 扇 区 g 0 号 扇 区 为 整个 物理 盘 中 的 某 一 扇 区 ,其 位 置 由 该 分 区 对 应 
分 区 表 的 相对 扇 区 来 确定 。 

(2) 打开 物理 磁盘 时 ,WinHex 软件 不 以 任何 文件 系统 为 基础 ,只 是 简单 地 将 整个 物理 磁 
盘 的 内 容 以 十 六 进 制 的 形式 展现 在 用 户 面前 ,物理 磁盘 的 开始 扇 区 为 整个 磁盘 的 逻辑 0 E Bl 
区 ,该 逻辑 0 号 扇 区 不 同 于 逻辑 盘 中 的 逻辑 0 号 扇 区 。 


3.4.3 WinHex 主 界 面 


WinHex 主 界面 由 菜单 栏 . 工 具 栏 .目录 浏览 、 细 目 面板 、 偏 移 量 纵 坐标 、 偏 移 量 横 坐标 十 
六 进 制 数据 编辑 区 十 六 进 制 数 据 对 应 文本 区 和 底 边栏 等 组 成 。 

例 3.7 (EH WinHex 软件 打开 五 盘 ( 注 : H 盘 为 素材 文件 abcd31. vhd 附加 后 产生 的 虚 
拟 逻辑 盘 , 以 下 类 同 ) ,其 WinHex 主 界面 如 图 3. 20 所 示 ,功能 说 明 如 下 : 

(1) 菜单 栏 : 是 WinHex 所 有 菜单 的 集合 ,由 文件 菜单 编辑 菜单 .搜索 菜单 等 组 成 。 

(2) 工具 栏 : 是 菜单 栏 各 项 常用 工具 按钮 的 集合 。 

(3) 目录 浏览 : 与 用 户 打开 的 对 象 有 关 ; 当 用 户 打开 一 个 物理 磁盘 时 ,显示 磁盘 分 区 情况 ; 
当 用 户 打开 一 个 逻辑 盘 时 ,显示 当前 磁盘 的 当前 目录 ; 当 用 户 打开 一 个 文件 时 ,没有 目录 浏览 。 
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图 3.20 WinHex 主 界面 


(4) 细 目 面板 : 通过 细 目 面板 可 观察 WinHex 主 界面 的 系统 分 布 信息 。 
O 用 户 打 开 一 个 物理 硬盘 时 ,在 细 目 面板 中 显示 以 下 信息 : 


硬盘 状态 : 状态 为 “原始 的 ”; 


后 ,最 后 没有 被 分 区 的 扇 区 数 ) 。 


节 数 。 
剪贴 板 情况 : 包括 剪贴 板 状态 


“ 细 目 面板 ”如 图 3.21 所 示 o 
硬盘 参数 如 下 : 
Hard Disk 1: 所 打开 的 物理 硬盘 为 1 号 硬盘 ; 
Model; 硬盘 型 号 是 IBM-DTLA-305040; 
Serial No: 硬盘 序列 号 是 YJEYJ124292; 
Firmware Rev: 固件 版 本 号 是 TW4OA68A; 
Bus: 硬盘 数据 总 线 接口 是 ATA; 
Default Edit Mode( 缺 省 编辑 模式 ); 
State: original (状态 为 原始 状态 ) ; 
Undo level; 0 (撤销 级 别 为 0 级 ); 
Undo reverses: (撤销 翻 页 ; 


硬盘 参数 : 包括 硬盘 的 型 号 (Model) .序列 号 (Serial No. ) .固件 版 本 号 和 接口 类 型 。 
如 果 对 内 容 进行 修改 ,这 里 就 会 显示 “被 修改 ”。 
有 撤销 级 别 (0) \ 反 向 撤销 (由 “n/a” 一 “键盘 输入 ”)。 

容量 : 包括 物理 硬盘 的 总 容量 ,每 个 扇 区 的 字 节 数 ,最 后 的 剩余 扇 区 ( 即 指 分 区 完成 


分 区 和 相对 肩 区 : 在 目录 浏览 中 选择 分 区 时 ,在 这 里 显示 分 区 情况 和 相对 扇 区 。 
窗口 情况 : 包括 当前 窗口 号 、 窗 口 数 模式 .字符 集 设 置 情况 、 偏 移 地 址 、 每 页 的 字 


\ 临 时 文件 夹 可 用 大 小 等 等 。 
例 3.8 (EH WinHex 打开 某 硬盘 ,操作 步骤 :“ 工 具 一 打开 磁盘 (D). 
磁盘 窗口 “Physical Media” 下 选择 要 打开 的 物理 硬盘 后 ， 


” 

… ,在 弹出 的 编辑 
Hard disk 1 Partition: <“ 
Modet: Relative sector No. ma 
Serial No. YJEYJ124292 

Mode: 
k ATA Charader set ANSIASCI 

Offsets: al 
Defaut Eat Moe Bytes perpage: — 26x16=416 

| Window #: 1 

Undo levet: À No.of windows: 1 
Ungo reverses 


Total capacity 
E pres TEMP folder 15.1 GB free 
SUTTER Š rarat TcpdiLOCALS~1Temp 


Bytes per 
Surplus a 


图 3.21 某 物理 硬盘 的 细 目 面板 


此 外 还 
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Total capacity: 物理 硬盘 容量 : 38. 3GB 王 41 174 138 880B; 

Bytes per sector: 每 个 扇 区 的 字 节 数 为 512; 

Surplus sectors at end: 最 后 剩余 结束 扇 区 有 12915 +; 

Partition: 当前 光标 所 在 分 区 ,“ 二 1” 即 当前 光标 在 第 1 分 区 前 ; 

Relative sector No. : 当前 光标 在 逻辑 盘 的 相对 扇 区 数 “n/a” 表 示 光 标 在 逻辑 盘 DBR 之 
前 , 注 : DBR 在 逻辑 盘 的 0 号 扇 区 ; 

Mode: 十 六 进 制 数据 编辑 区 显示 模式 ,此 处 为 十 六 进 制 显 示 模 式 ， 

Character set; 十 六 进 制 所 对 应 的 文本 区 字符 集 为 ANSI ASCII; 

Offsets: 偏 移 量 纵 坐标 和 横 坐 标的 显示 模式 ,此 处 为 十 六 进 制 显示 模式 ; 

Bytes per page: 每 页 显示 的 字 节 数 , 此 处 是 一 页 显示 26 行 ,每 行 16 列 , 每 页 显示 416 
字 节 ， 

Window # : WinHex 所 打开 的 窗口 数 ,此 处 是 打开 一 个 窗口 ; 

No. of windows: 当前 在 第 一 窗口 ; 

Clipboard: 剪 切 板 的 情况 ,此 处 是 可 用 的 ; 

TEMP folder: 临时 文件 夹 的 情况 ,此 处 是 临时 文件 夹 有 15.1GB 的 自由 空间 。 

@ 当 用 户 打开 一 个 逻辑 盘 时 ,在 细 目 面板 中 显示 以 下 信息 : 

。 人 逻辑 驱动 器 ,文件 系统 、 卷 标 ; 

。 缺 省 编辑 模式 ,状态 ,撤销 级 别 (0) 、 反 向 撤销 (由 “n/a” 一 “键盘 输入 ”); 

。 当前 光标 所 在 的 簇 号 (如 果 是 光标 所 在 位 置 是 文件 , 则 再 显示 文件 名 和 文件 所 在 路 
径 ) ,物理 扇 区 号 ( 即 当 前 光标 在 整个 硬盘 中 的 扇 区 号 ) 逻辑 扇 区 号 ; 
逻辑 盘 已 使 用 的 空间 .自由 空间 和 总 容量 ; 
逻辑 盘 中 每 个 徐 的 扇 区 数 .和 白 由 复数 .总 复数 、 每 个 扇 区 的 字 节 数 、 可 使 用 的 扇 区 数 .第 
一 个 数据 所 在 扇 区 号 (对 于 FAT32 文件 系统 而 言 ,该 值 等 于 DBR 中 的 每 个 FAT 表 占 
用 扇 区 数 X2 十 保留 扇 区 数 ; 对 于 NTFS 文件 系统 没有 该 项 ) 等 等 。 
例 3.9 (EH WinHex 打开 H 盘 ,其 “ 细 目 面板 ?如 图 3. 22 所 示 。 


Drie Ht 100% ree PR 
Fie system Lesa UT 
tme zone: 
Defaut Edit Mode pa Preespace +93 MB | Display originat 
Undo levet D 202.330.112 bes 。 Characerset 。 ANSIASCI 
Undo reverses: ma | Total capaciy. 197 MB Offsets: hexadecimal 
206569472 bytes | Bytes per page: 34r16-544 
Anoc of visible arive space: 
window + 1 
Cluster No- Bes eause 8794 | No. ofwindows: 1 
Boot sedor (Total 98816 
Danaus. | Basa pm asd 512 
PhysicalseclorNo: — 420 Usable sedors: — 395264 
Logical sector No: 0 First data sedor 8192 


图 3.22 H 盘 的 细 目 面板 


H 盘 的 参数 如 下 : 

Drive H; 用 户 打 开 的 逻辑 驱动 器 是 H 驱动 器 ,有 100% 的 自由 空间 ; 
File system; 文件 系统 是 FAT32; 

Default Edit Mode: 缺 省 编辑 模式 ; 

State: 状态 ; 

Undo Level: 撤销 级 别 , 此 处 为 0 级 ; 

Undo reverses: 反 向 撤销 (由 “n/a” 一 “键盘 输入 ”); 


全 大 话 数据 恢复 


Alloc. of visible drive space; 

Cluster No. : ` 658 EIR 5 , n/a RR ` BÍ 36 bk fE R Z 2 B| Boot sector 即 光 标 在 
Boot sector X; 

Snapshot taken: 2 min. ago 获取 快照 ,此 处 是 2 分 钟 之 前 ; 

Physical sector No. : 当前 光标 在 整个 物理 盘 的 扇 区 号 ,此 处 是 当前 光标 在 128 号 扇 区 ; 

Logical sector No. : 当前 光标 在 逻辑 盘 的 扇 区 号 ,此 处 是 0 号 扇 区 , 即 H 盘 的 DBR 处 ; 

Used space; 已 使 用 的 空间 占 44. 0KB( 即 45 056B); 

Free space: 自由 空间 是 193MB( 即 202 330 112B); 

Total capacity: H 盘 总 共 容 量 是 197MB( 即 206 569 472B) ; 

Bytes per cluster; 每 个 簇 的 字 节 数 , 此 处 是 2048; 

Free clusters: 自由 簇 数 ,此 处 是 98 794; 

Total clusters: 总 共 徐 数 ,此 处 是 98 816; 

Bytes per sector: 每 个 扇 区 的 字 节 ,此 处 是 512; 

Usable sectors: 可 用 扇 区 数 , 此 处 是 395 264; 

First data sector: 第 1 个 数据 扇 区 号 ,此 处 是 8192 ,在 FAT32 文件 系统 中 ,该 值 王 保留 扇 
区 数 十 每 个 FAT 表 占 用 扇 区 数 书 AT 表 数 ; 

Physical disk: 物理 硬盘 为 1 号 盘 ; 

Display time zone; original 显示 时 间 区 域 为 原始 ; 

Mode: 十 六 进 制 数据 编辑 区 显示 模式 ,此 处 为 十 六 进 制 显 示 模 式 ; 

Character set; 十 六 进 制 数 据 对 应 的 文本 区 字符 集 为 ANSI ASCII; 

Offsets: 偏 移 量 纵 坐 标 和 横 坐 标的 显示 模式 ,此 处 为 十 六 进 制 显示 ; 

Bytes per page: 每 页 显示 的 字 节 数 , 此 处 是 一 页 显示 34 行 ,每 行 16 列 , 每 页 显示 544 
字 节 ， 

Window # : WinHex 所 打开 的 窗口 数 , 此 处 是 打开 一 个 窗口 ; 

No. of windows: 当前 在 第 一 窗口 。 

© 当 用 户 打开 逻辑 盘 上 的 一 个 文件 时 ,在 细 目 面板 中 将 显示 以 下 信息 : 

° 文件 名 .所 在 盘 符 路径、 文件 大 小 。 

° 缺 省 编辑 模式 状态、 撤销 级 别 (0) 、 反 向 撤销 (由 “n/a” 一 “键盘 输入 ”)。 

° 文件 建立 、 最 后 修改 的 日 期 \ 时 间 , 文 件 属性 等 等 。 

(5)“ 访 问 ” 功 能 菜单 : 在 编辑 窗口 的 右上 角 有 一 个 倒 三 角形 的 白色 按钮 ,该 按钮 就 是 “ 访 
问 ” 功 能 菜单 。 

O 当 用 户 打 开 一 个 文件 时 ,没有 “访问 ? 功 能 菜单 ,只 有 打开 一 个 物理 盘 或 逻辑 盘 时 , 才 有 
“访问 ?功能 菜单 。 

© 当 用 户 打开 一 个 逻辑 盘 ( 注 : 文件 系统 为 FAT32) 时 ,功能 菜单 如 下 : 

。 Boot sector: 将 光标 移动 到 FAT32_DBR 处 ( 即 逻 辑 盘 0 号 扇 区 ) 。 

。 Boot sector(template): 用 模板 显示 FAT32_DBR 。 

+ FATI: 将 光标 移动 到 FAT1 表 开始 扇 区 处 。 
FAT2: 将 光标 移动 到 FAT2 表 开 始 扇 区 处 。 
Root directory: 将 光标 移动 到 FAT32 根 目录 开 始 扇 区 处 , 即 2 号 簇 的 开始 扇 区 处 。 
Root directory(template) : 用 模板 显示 根 目 录 文 件 名 及 其 属性 情况 。 
Search directoryCup) : 向 前 搜索 子 目录 项 。 
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* Search directory(down) : 向 后 搜索 子 目 录 项 。 

© 当 用 户 打开 一 个 逻辑 盘 ( 注 : 文件 系统 为 NTFS) 时 ,功能 菜单 如 下 : 

。 Boot sector: 将 光标 移动 到 NTFS_DBR 处 ( 即 逻辑 盘 0 扇 区 ) 。 

。 Boot sector(template) : 用 模板 显示 NTFS_DBR 。 

e Master File Table( $ MFT) : 将 光标 移动 到 元 文件 $ MFT 开始 扇 区 处 ,并 弹出 一 个 显 
示 “ 元 文件 $ MFT 占用 簇 数 和 占用 段 数 ” 的 窗口 。 

。 Search File record(up): 向 前 搜索 文件 记录 。 

Search File record(down): 向 后 搜索 文件 记录 。 

Volume slack: 将 光标 移动 到 卷 忽略 扇 区 处 即 剩 余 扇 区 处 。 

* Template(NTFS FILE Record): 弹出 一 个 窗口 ,用 模板 显示 元 文件 $ MFT 当前 记录 

情况 。 

@ 当 用 户 打开 一 个 物理 盘 时 ,显示 该 物理 盘 的 分 区 数 和 Go To Unpartitionable space; 
如 果 物 理 硬盘 有 4 个 分 区 , 则 出 现 4 个 分 区 选项 , 即 Partition1( 容 量 、 文 件 系 统 ) ,Partition2 
(容量 、 文 件 系 统 ), Partition3 (容量 、 文 件 系统 ), Partition4 (容量 ,文件 系统 ) 和 Go To 
Unpartitionable space。 

选择 一 个 选项 ,例如 : 选择 Partition1( 容 量 、 文 件 系 统 ) 功 能 菜单 如 下 : 

° Open: 打开 Partitionl , 与 在 菜单 栏 中 选择 “工具 一 打开 磁盘 一 在 Edit Disk 中 的 
Logical Drive Letters 选择 Partition1” 所 对 应 的 逻辑 盘 相同 。 

Partition table: 将 光标 移动 到 所 选 分 区 的 分 区 表 所 在 扇 区 。 

Partition table(template) : 用 模板 显示 分 区 表 。 

Boot sector; 将 光标 移动 到 所 打开 分 区 的 DBR 所 在 扇 区 。 

Boot sector(template) : 用 模板 显示 分 区 的 DBR 情况 。 

Clone Partition (as source)…: 将 分 区 作为 源 盘 刻录 。 

Clone Partition(as destination)…: 将 分 区 作为 目标 盘 刻 录 。 

Go To Unpartitionable space: 将 光标 移动 到 磁盘 未 分 区 的 开始 扇 区 处 ,与 在 “目录 浏 
览 ” 中 选择 “Unpartitionable space” 作 用 相同 。 

(6) 偏 移 量 : 偏 移 量 (Offset) 是 指 某 个 地 址 相对 于 一 个 指定 的 开始 地 址 所 发 生 的 位 移 。 
WinHex 的 偏 移 量 由 纵 坐标 与 横 坐 标 构 成 ,用 来 具体 定位 十 六 进 制 数 据 编辑 区 中 每 个 字 节 的 
地 址 。 偏 移 量 的 纵 坐 标 和 横 坐 标 所 显示 的 地 址 默认 为 是 十 六 进 制 数 ,如 果 需 要 改 为 十 进 制 数 
则 只 需 在 纵 坐 标 处 的 任意 位 置 单 击 鼠标 即 可 。 

(7) 十 六 进 制 数据 编辑 区 : 当 用 WinHex 打开 一 个 编辑 目标 时 ,编辑 目标 中 存储 的 所 有 
数据 都 会 以 十 六 进 制 的 形式 显示 在 该 区 中 。 

(8) 十 六 进 制 数据 对 应 的 文本 区 : 该 区 的 作用 是 将 十 六 进 制 数据 编辑 区 的 数据 按 一 定 的 
编码 解释 为 相应 的 字符 。 所 显示 的 字 节 集 可 以 通过 菜单 栏 中 的 “选项 一 字符 集 ” 来 进行 选择 。 

(9) 底 边 栏 : 底 边栏 位 于 主 窗口 的 最 下 边 , 主 要 显示 打开 的 文件 或 者 物理 磁盘 或 者 逻辑 
盘 的 总 扇 区 数 以 及 当前 光标 所 在 扇 区 和 偏 移 地 址 。 


3.4.4 WinHex 菜单 介绍 


WinHex 菜单 栏 是 所 有 菜单 的 集合 ,由 文件 菜单 栏 编辑 菜单 栏 搜索 菜单 栏 等 组 成 。 


@ 大 话 数据 恢复 


1. 文件 菜单 栏 是 由 新 建 . 打 开 、 存 储 扇 区 等 组 成 


(1) 新 建 : 该 命令 用 于 建立 一 个 文件 ,新 建文 件 以 缺 省 编辑 模式 打开 。 新 建文 件 时 ,必须 
指定 文件 的 大 小 ,单位 可 以 选择 : B.KB.MB 或 者 GB, 默 认 文件 名 为 noname. 

(2) 打开 : 以 十 六 进 制 形式 打开 一 个 已 经 存在 的 文件 。 这 种 打开 文件 的 方式 与 其 他 编辑 
软件 打开 文件 的 方式 不 同 。 使 用 其 他 编辑 软件 打开 文件 不 能 看 到 文件 的 原 代 码 , 而 使 用 
WinHex 软件 打开 文件 则 可 以 查看 到 文件 的 原 代 码 。 

例 3.10 使 用 记事 本 打开 素材 文件 chapter3. txt, 其 内 容 如 图 3. 23 所 示 。 

加 Ehopter3 ot RE 
文件 昌 SAO LO SEV 帮助 人) 
ABCDEFGHI JKLMNOPQRSTUVWXYZ 本 
0123456789 f 


云南 大 学 


二 
3.23 使 用 记事 本 打开 Chapter3. txt 文件 


从 图 3. 23 可 知 ,该 文本 文件 只 有 3 行 ; 第 1 行 显示 的 是 26 个 大 写 英文 字母 ; 第 2 行 显示 
的 是 “0 一 9” 这 10 个 数字 ; 第 3 行 显示 的 是 “云南 大 学 ”这 4 个 汉字 。 
例 3.11 使 用 WinHex 打开 素材 文件 chapter3. txt, 其 内 容 如 图 3. 24 所 示 。 
WinHex- = 


XD SAO RRO CEO NEV IAD HPO MAO SOW MH BON] 


ehapter3, txt | 


chapt | Offset 0 1 2 3 4 56 7 595.3 0 C DEF - 
Chk:| 00000000 41 42 43 44 45 46 47 48 49 4A 4B 4C 4D 4E 4F 50 ABCDEFGHIJKLMNOP 
00000010 51 52 53 54 55 56 57 58 59 SA[OD[0A]30 31 32 33 | QRSTUVWXYZ , .0123 


Fea | 00000020 34 35 36 37 38 39[0D]oA][Da celca cr|54 Fa[pi A7] 456789.. 云 南大 学 
bytes | 00000030 >š 


J. 


Page1of1 Ofset ° = 65 | Block 0-0) Size: 1 
3.24 使 用 WinHex 打开 chapter3. txt 文件 


从 图 3. 24 可 以 看 到 26 个 大 写 英文 字母 “0 一 9” 这 10 个 数字 和 “云南 大 学 ”这 4 个 汉字 的 
内 码 ( 即 ASCII 码 )。 

即 “A 一 Z” 的 ASCI 码 分 别 为 "41 一 5A”; “0 一 9” 的 ASCI 码 分 别 为 “30 一 39”;“ 云 南大 
学 ”这 4 个 汉字 的 内 码 ( 即 ASCII 码 ) 分 别 为 “D4 C6”C4 CF”“B4 F3” 和 “D1 A7”( 存 储 形 式 )， 
在 代码 “5A” 与 “30” 之 间 、“39” 与 “D4” 之 间 存 在 有 代码 “0D” 和 “0A”, 分 别 为 回 车 符 和 换行 符 的 
ASCII 码 , 正 是 因为 这 两 个 代码 的 存在 才 使 得 用 记事 本 打开 该 文件 后 “0 一 9" 这 10 个 数字 在 
第 2 行 显示 ; 而 “云南 大 学 ”这 4 个 汉字 则 在 第 3 行 显示 。 

(3) 保存 : 存储 当前 打开 的 文件 到 磁盘 上 。 当 对 磁盘 进行 编辑 时 ,该 命令 为 “存储 扇 区 ”。 

(4) 另存 为 : 以 别 的 文件 名 存储 当前 打开 的 文件 。 

(5) 建立 磁盘 镜像 /做 备份 副本 。 

(6) 打印 : 用 于 发 送 打印 指令 。 

(7) 属性 : 用 于 对 一 个 文件 的 大 小 、 时 间 信 息 等 进行 编辑 。 编 辑 完 成 后 按 回 车 键 ,程序 将 
提示 编辑 结果 立即 生效 。 

O 打开 文件 夹 : 用 于 同时 打开 一 个 文件 夹 下 的 多 个 文件 , 单 击 后 弹出 Open Folder 文件 
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夹 选择 窗口 ,如 图 3. 25 所 示 , 说 明 如 下 。 


O mask( 掩 码 ): 可 以 打开 文件 夹 下 的 所 有 文 | er 
件 , 也 可 以 通过 设置 掩 码 打开 某 种 指定 的 文件 。 例 本 
如 : 设置 掩 码 为 " * . doc”, 则 打开 当前 文件 夹 下 的 所 -pei 
# Word 文档 。 


@ 打开 方式 : 选择 打开 文件 的 方式 ,包括 只 读 
HRÈ (Read-Only Mode)、 缺 省 编辑 方式 (Default 
Edit Mode) 和 输入 方式 (In-place Mode) 。 g saya assay sata 

@ Must contain specified text: 包含 指定 文本 。 单 | ， — ea 
击 后 ,弹出 查找 文本 对 话 框 (对 话 框 设置 见 后 面 的 文本 | = Ee Me 
搜索 ”) ,可 以 在 对 话 框 中 输入 文件 中 包含 的 文本 。 

@® Must contain specified hex values; 包含 指 
定 的 十 六 进 制 值 。 单 击 后 ,弹出 十 六 进 制 搜索 对 话 框 (对 话 框 设置 见 后 面 的 “十 六 进 制 搜索 ”)， 
可 以 在 对 话 框 中 输入 包含 在 文件 中 的 十 六 进 制 值 。 

© Include subfolders: 包括 子 文件 夹 。 选 择 该 项 后 ,不 只 打开 当前 文件 夹 下 的 文件 ,还 会 
打开 当前 文件 夹 下 的 子 文件 夹 。 


2. 编辑 菜单 栏 是 由 撤销 、 复 制 选 块 、 写 入 选 块 等 组 成 


A) 撤销 : 用 以 撤销 刚才 进行 的 操作 。 如 : 对 某 个 字 节 进行 了 修改 后 , 想 撤 销 修改 ,可 以 
单 击 该 按钮 。 

(2) 复制 选 块 : 用 以 将 选中 的 选 块 复制 到 剪贴 板 。 

(3) 写 人 选 块 : 将 剪贴 板 中 的 内 容 从 指定 当前 所 在 位 置 写 入 。 

(4) 转换 文件 : 只 对 打开 的 文件 有 效 , 单 击 后 ,弹出 转换 选择 框 , 如 图 3. 26 所 示 ,可 以 在 转 
换 选择 框 中 选择 需要 进行 的 转换 。 

(5) 修改 数据 : 用 于 对 选 块 或 文件 数据 进行 各 种 处 理 , 可 以 用 来 对 数据 进行 简单 的 加 密 。 


3. 搜索 菜单 栏 是 由 查找 文本 、 查 找 Hex 数值 等 组 成 


(1) 查找 文本 : 用 于 查找 文本 字符 ; fE“ The following text string will be searched; ”列表 
框 中 输入 要 查找 的 文本 ,如 图 3. 27 所 示 。 


3.25 文件 夹 选择 窗口 


ro _ 
EM /TBM 


ANSI -> Ol 
(OEM/IBM -> ANS: 
ANSI ASCII 


Lowercase -> uppercase characters (ANSI) 
Uppercase -> lowercase characters (ANSI) 


Intel Hex - 
Was EY Binoy 
-> Intel Hex 


C Convert all open files E List search hits, up to> [10000 


PTI Ces] [Eee 


图 3. 26 转换 文件 图 3.27 查找 文本 
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O Match case: 区 分 大 小 写 。 选 择 该 项 后 ,搜索 中 将 完全 匹配 字母 的 大 小 写 ,默认 是 忽略 
大 小 写 。 例 如 : 要 搜索 “Test” ,但 输入 的 是 “test”, 如 果 不 选 择 区 分 大 小 写 选项 ,可 以 搜索 到 ; 
如 果 选 择 了 区 分 大 小 写 ( 即 选择 Match case 前 的 复 选 框 ), 则 只 严格 搜索 "test”, 大 小 写 不 一 致 
的 将 搜索 不 到 。 

O 编码 选择 : 选择 ASCII/Code page 与 Unicode 码 。 如 果 选 择 ASCI/Code page, 则 以 
ASCH 码 的 形式 进行 搜索 ; 如 果 选 择 Unicode, 则 以 Unicode 码 的 形式 进行 搜索 。 

@ Use this as a wildcard: 设置 通配符 。 例 如 : 要 搜索 由 4 个 字母 组 成 的 单词 ,但 是 单词 
的 后 3 个 字母 为 “est”; 可 以 选择 该 复 选 框 ,并 设 定 一 个 通配符 ; 同时 配合 Whole words only 
(全 字符 匹配 ) 进 行 搜索 ; 例如 : 可 以 使 用 *?” 作 为 通配符 ,搜索 *? est”。 

@ Whole words only: 全 字符 匹配 , 即 搜索 目标 和 结果 需要 整个 单词 完全 匹配 。 

© Search: 用 于 设置 在 整个 磁盘 或 文件 范围 内 进行 搜索 的 方向 ; 如 果 选 择 “All”, 则 在 打 
开 的 物理 盘 或 者 逻辑 盘 或 者 文件 中 搜索 ; 如 果 选 择 *Up”, 则 从 光标 所 在 位 置 开始 向 前 搜索 ; 
如 果 选 择 *Down”, 则 从 光标 所 在 位 置 开 始 向 后 搜索 。 

© Cond: 设 定 符合 要 求 的 目标 位 置 。 例 如 : 要 搜索 位 于 每 个 扇 区 偏 移 82 字 节 处 的 某 字 
符 , 可 以 设置 为 “Cond: offset mod 512 一 82”, 即 只 有 偏 移 位 置 除 以 每 扇 区 字 节 数 512 余数 为 
82 字 节 的 位 置 才 符合 要 求 , 其 他 位 置 的 相同 字符 将 不 在 搜索 结果 内 。 

@ Search in block only: 只 在 选 块 内 搜索 。 如 果 确 定 搜索 目标 就 在 某 个 范围 内 ,可 以 选 
中 该 选 块 ,这 时 Search in block only 选项 将 变 成 可 选 状态 ,选择 该 项 后 即 可 实现 只 在 设 定 的 
范围 内 搜索 目标 。 

@ Search in all open windows: 在 所 有 打开 的 窗口 中 搜索 。 如 果 打 开 一 个 以 上 的 对 象 ， 
则 该 选项 处 于 可 选 状态 ,选择 该 项 后 程序 会 在 所 有 打开 的 窗口 中 搜索 目标 。 

@) List search hits,up to: 将 搜索 结果 列表 显示 ,可 以 设 定 


Find Hex Values 
显示 的 搜索 结果 数量 。 和 
(2) 查找 Hex 数值 用 于 查找 十 六 进 制 值 ， 在 “The 加 > 
following hex values will be searched:” 列 表 框 中 输入 要 查找 的 F | 
十 六 进 制 值 ,如 图 3. 28 所 示 , 其 他 选项 与 查找 文本 相同 。 | 
(3) 替换 文本 : 用 于 搜索 指定 的 文本 内 容 ,并 将 其 替换 为 设 Pass =i 
定 的 文本 。 ED Eee E | 
@ Search for; 搜索 目标 ,也 就 是 将 要 被 替换 的 文本 。 
@ Replace with; 作为 替换 结果 的 新 文本 。 ms 查找 (过 利信 


@ Prompt when found: 搜索 到 目标 后 提示 :“ 是 否 进行 替换 ?”。 

@ Replace all occurrences: 不 提示 ,直接 替换 所 有 搜索 到 的 符合 替换 要 求 的 目标 。 

(4) 替换 十 六 进 制 值 : 用 法 与 替换 文本 相同 ,只 是 该 功能 用 于 搜索 和 替换 十 六 进 制 值 。 

(5) 同时 搜索 : 用 于 同时 搜索 两 个 以 上 的 对 象 。WinHex 可 以 设置 同时 搜索 两 个 以 上 的 
对 象 ,这 在 有 多 个 对 象 需要 同时 搜索 时 是 非常 有 用 的 。 对 于 相互 间 没 有 关联 的 若干 个 文本 对 
象 ,可 以 在 一 次 搜索 过 程 中 完成 对 它们 的 搜索 ; 对 于 某 个 搜索 对 象 , 如 果 由 两 个 以 上 文本 对 其 
进行 限定 ,使 用 “同时 搜索 ”功能 就 可 以 大 大 增加 搜索 的 精确 度 。 

大 多 数 选项 与 前 面 介绍 的 其 他 搜索 设置 相同 ,这 里 只 介绍 7 个 该 搜索 功能 特有 的 选项 : 

O 搜索 内 容 框 : 搜索 内 容 框 用 于 输入 要 搜索 的 目标 文本 ,每 个 目标 文本 占用 一 行 。 

@ 保存 文件 : 可 以 将 输入 搜索 内 容 框 中 的 搜索 内 容 保存 成 一 个 文件 ,以 便于 以 后 搜索 相 
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同 ( 或 包含 部 分 相同 内 容 ) 时 减少 输入 量 。 

@ 打开 文件 : 打开 一 个 以 前 保存 过 的 搜索 内 容 文 件 。 

@ 搜索 方式 : 有 两 个 单 选 项 一 一 逻辑 搜索 和 物理 搜索 。 只 有 打开 磁盘 时 才 会 出 现 * 搜 索 
方式 ”选择 项 ,如 果 目 前 打开 的 只 是 一 个 文件 , 则 不 会 出 现 该 选择 项 。 

© Logical(file-wise) : 逻辑 搜索 。 逻 辑 搜索 是 指 按 逻 辑 存储 在 文件 中 进行 遍历 搜索 。 

© Physical(sector-wise) : 物理 搜索 。 物 理 搜索 即 不 考虑 逻辑 存储 关系 ,针对 物理 扇 区 进 
行 搜索 。 


4. 位 置 菜单 栏 是 由 转 到 偏 移 .Go to Sector、Go to FAT Entry 等 组 成 


(1) New position: 新 位 置 , 即 要 跳 过 的 数量 (单位 以 输入 框 后 的 单位 设置 按钮 显示 的 单 
位 为 准 )。 输 入 的 数值 可 以 是 十 进 制 也 可 以 是 十 六 进 制 ,这 取决 于 偏 移 量 坐 标的 显示 形式 一 一 
如 果 偏 移 量 坐标 是 十 进 制 , 则 此 处 输入 的 是 十 进 制 ; 如 果 偏 移 量 坐 标 是 十 六 进 制 , 则 此 处 输入 
的 是 十 六 进 制 。 

D 转 到 某 偏 移 量 : 用 于 将 光标 跳 转 到 某 偏 移 量 位 置 , 单 击 后 弹出 跳 转 到 偏 移 量 对 话 框 。 

© 单位 设置 按钮 : 位 于 跳 转 数量 输入 框 后 面 ,每 按 一 次 , 跳 转 单位 在 扇 区 (Sectors) 、 字 节 
(Bytes) 、 字 (Words) 、 双 字 (Dwords) 之 间 循 环 变 化 。 

@ Beginning: 从 当前 对 象 窗口 的 偏 移 0 处 向 偏 移 量 较 大 方向 跳 转 。 

@ Current position; 从 光标 所 在 的 当前 位 置 向 偏 移 量 较 大 的 方向 跳 转 。 

© Current position (back from); 从 光标 所 在 的 当前 位 置 向 偏 移 量 较 小 的 方向 跳 转 。 

© End(back from): 从 当前 对 象 窗口 的 最 大 偏 移 量 处 向 偏 移 量 较 小 方向 跳 转 。 

(2) PERIK: 跳 转 到 某 个 指定 的 扇 区 。 根 据 打 开 的 对 象 不 同 , 界 面 输入 框 也 略 有 
不 同 。 

如 果 打 开 的 是 物理 盘 , 则 只 可 以 输入 逻辑 扇 区 号 (或 输入 物理 地 址 , 即 柱 面 号 、 磁 头号 和 忆 
区 号 ) ,如 图 3. 29 所 示 ; 如 果 打 开 的 是 逻辑 磁盘 , 则 既 可 以 输入 扇 区 号 ,也 可 以 输入 得 号 ,如 
图 3. 30 所 示 。 


图 3.29 打开 物理 盘 , 转 到 某 扇 区 号 图 3.30 打开 逻辑 盘 , 转 到 某 扇 区 号 


© Go to FAT Entry.../Go to FILE Record 

如 果 打 开 的 是 FAT32 文件 系统 ,此 项 为 “Go to FAT Entry ... ”, 其 作用 是 : 将 光标 移动 
到 簇 号 项 在 FATI 表 中 的 位 置 ,用 户 需 要 输入 簇 号 ; 

如 果 打 开 的 是 NTFS 文件 系统 ,此 项 为 "Go to FILE Record ... ”, 其 作用 是 : 将 光标 移动 
到 元 文件 $ MFT 某 个 记录 号 的 位 置 ,用 户 需要 输入 记录 号 。 

© HEB): 将 光标 移动 到 上 一 个 位 置 。 

O REF): 将 光标 移动 到 下 一 个 位 置 。 

@ 转 到 : 转 到 包括 8 个 子 菜单 , 即 文件 头 (B) ,文件 尾 (E) 、 选 块头 (L)、 选 块 尾 (K)、 页 面 


& 大 话 数据 恢复 


头 (A)、 页 面 尾 (N). 行 首 (G) 和 行 末 (0O)。 如 果 打 开 的 是 文件 ,可 以 将 光标 移动 到 文件 头 或 文 
件 尾 ; 如 果 选 择 的 是 块 ,可 以 将 光标 移动 到 选 块头 或 选 块 尾 ; 也 可 以 将 光标 移动 到 页 面 头 或 
页 面 尾 ; 也 可 以 将 光标 移动 到 行 首 或 行 末 。 


5. 视图 菜单 栏 是 由 仅 显 示 文 本 、 仅 显示 Hex、 记 录 简 报 、 显 示 、 模 板 管理 器 等 组 成 


特别 要 注意 显示 下 一 级 菜单 下 的 数据 解释 器 (D) ,该 功能 所 显示 的 值 与 选项 中 “数据 解释 
器 "中 的 选择 有 关 ,默认 为 小 头 位 序 。 当 选中 数据 解释 器 中 的 “Big Endian” 时 为 大 头 位 序 显示 
光标 所 在 位 置 的 数值 。 将 光标 移动 到 要 解释 数值 的 开始 位 置 , 则 将 以 8 位 、16 位 、24 位、32 
位 、64 位 显示 该 数值 十 进 制 值 或 者 显示 日 期 时 间 值 。 

WinHex 提供 了 以 模板 的 形式 显示 硬盘 MBR 分 区 表 、FAT32_DBR、NTFS_DBR 等 的 详 
细 信 息 ,以 供用 户 参 考 。 


6. 工具 菜单 栏 是 由 打开 磁盘 磁盘 工 具 等 组 成 


(1) 打开 磁盘 : 用 于 打开 一 个 物理 磁盘 或 一 个 逻辑 磁盘 。 

磁盘 工具 与 打开 的 磁盘 有 关 ; 如 果 打 开 的 是 物理 磁盘 , 则 包括 : 克隆 磁盘 、 按 类 型 恢复 文 
件 、 获 取 新 建 卷 快 照 .扫描 丢失 分 区 、 设 置 磁盘 参数 。 

如 果 打 开 的 是 迎 辑 磁盘 , 则 包括 : 克隆 磁盘 、 按 类 型 恢复 文件 ,获取 新 建 卷 快 照 . 初 始 化 自 
由 空间 、 初 始 化 备用 空间 、 初 始 化 目录 项 和 设置 磁盘 参数 。 

(2) 克隆 磁盘 : 可 以 很 方便 地 将 一 块 硬盘 或 一 个 分 区 克隆 到 另 一 个 硬盘 上 ,或 作为 镜像 
文件 。 对 话 框 中 的 来 源 和 目标 可 以 是 硬盘 、 分 区 或 者 文件 ,可 以 根据 实际 情况 进行 选择 ,克隆 
时 还 能 选择 完整 复制 或 者 自 定 义 扇 区 进行 复制 。 另 外 ,如 果 介 质 中 有 坏 扇 区 ,可 以 选择 跳 过 的 
数目 ,还 能 定义 坏 扇 区 所 对 应 的 目标 盘 中 填 人 的 值 。 

例 3.12 将 U 盘 以 文件 的 形式 克隆 到 D 盘 的 根 目 录 下 ,文件 名 为 U_disk2015-11-25 。 
操作 步骤 如 下 : 

O “工具 (T) 一 磁盘 工具 (0) 一 “克隆 磁盘 (D)...”。 

© 出 现 克隆 界面 ,如 图 3. 31 所 示 , 单 击 “Source: medium” 后 “磁盘 ”图 标 ,弹出 “选择 磁 
盘 ” 窗 口 ,选择 “Logical Drive Letters” 下 的 “Removable medium(H:), HD1” 后 , 单 击 “*OK” 按 
钮 ,如 图 3. 32 所 示 。 

Clone Disk (Copy Sectors) "rss = 
Source: medum E E Coy erte mesum 


Drive H, KINGSTON Stat sector [sorcek 0 


Destination: iw magefle (m) I) | een 0 

D'U_dsk20151125 Number of sectors to copy: 2064352 
JJ Log procedure ij El Avoid damaged weas Skiprange |32 
(J Wite patan tor = — UNREADABLESE 


mdaneous 1/0 [fasiet i source and destnabon me diferent phyncal medal 


Kanman) bs) i 


图 3.31 克隆 磁盘 窗口 图 3. 32 选择 磁盘 窗口 


© 单 击 “Destination: raw image file” 后 “文件 ”图 标 ,弹出 “Make Backup/Createlmage 
Files” fi O ,在 “保存 在 (D" 后 的 下 拉 式 列表 框 中 选择 “D:\”, 在 文件 名 右边 的 文本 框 中 输入 文 
件 名 “U_disk2015-11-25”, 即 U 盘 克 隆 后 的 文件 名 为 “U_disk2015-11-25”, 存 储 在 D 盘 的 根 目 
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录 下 , 单 击 “保存 ?按钮 ,返回 到 克隆 窗口 。 

@ 从 图 3. 31 可 知 ,U 盘 的 开始 扇 区 号 (Start sector (source) :) 为 0, 结 束 扇 区 号 为 
2064351; Š JM X% (Number of sectors to copy:) 为 2064352。 

© B h° OK” , JF 6 ya | ,克隆 完成 后 ,U 盘 的 数据 便 以 文件 的 形式 存储 在 D 盘 的 根 
目录 下 ,文件 名 为 “U_disk2015-11-25”。 

(3) 按 类 型 恢复 文件 : 在 恢复 文件 时 ,如 果 文 件 名 已 经 被 覆盖 或 者 用 户 不 知道 要 恢复 的 
文件 名 时 ,可 选择 该 功能 来 恢复 所 需 文件 ,前提 是 文件 内 容 必 须 连续 存储 且 文 件 内 容 没 有 被 覆 
盖 过 ; 如 果 文 件 内 容 不 连续 存储 ,所 恢复 出 来 的 文件 内 容 将 不 完整 。 WinHex 可 以 按 类 型 恢 
复 “.jpg”“. png”“GIF” 等 文件 。 

(4) 打开 内 存 : WinHex 支持 直接 对 内 存 进行 编辑 。 

(5) 计算 器 : 调用 Windows 的 计算 器 功能 。 


7. 专家 菜单 栏 是 由 获取 卷 快照 .技术 细 目 报告 等 组 成 


d) 重新 获取 卷 快照 : WinHex 可 以 对 卷 进 行 快照 , 即 记录 卷 中 的 管理 信息 。 当 卷发 生 改 
变 后 ,可 以 单 击 该 按钮 ,重新 获取 卷 的 快照 。 

(2) 技术 细 目 报告 : 显示 当前 打开 的 物理 盘 、 人 逻辑 盘 或 文件 有 关 的 技术 参数 。 

对 于 打开 物理 盘 而 言 , 显 示 硬 盘 序 列 号 、 硬 盘 总 线 类 型 .硬盘 总 容量 、 每 个 扇 区 字 节 数 \ 硬 
盘 分 区 类 型 及 分 区 情况 等 参数 。 

对 于 打开 旭 辑 盘 而 言 , 显 示 迎 辑 盘 文 件 系统 类 型 .总 容量 .总 扇 区 数 、 每 个 扇 区 字 节 数 和 每 
个 簇 的 字 节 数 等 参数 。 

对 于 打开 文件 而 言 , 显 示 文 件 所 在 的 盘 符 、 路 径 \、 文 件 名 \ 文 件 大 小 (单位 : 字 节 ) ,文件 建 
立 的 时 间 、 文 件 最 后 写 入 的 时 间 和 文件 属性 。 

(3) 映像 文件 为 磁盘 : 当 使 用 菜单 栏 中 的 “文件 一 打开 ”打开 一 个 文件 后 ,使 用 该 功能 可 
以 将 文件 映像 为 磁盘 。 

(4) 重建 RAID 系统 : WinHex 提供 了 对 RAID-0 和 RAID-5 服务 器 磁盘 阵列 进行 重建 
的 功能 。 

对 于 RAID-0 的 重建 只 需要 分 析 磁 盘 的 盘 序 、MBR 开始 扇 区 号 .每 个 条 带 的 扇 区 数 ( 即 条 
带 大 小 ), 即 可 完成 对 RAID-0 的 重建 工作 。 而 对 于 RAID-5 服务 器 磁盘 阵列 进行 重建 , 则 要 
比 RAID-0 复杂 一 些 , 需 要 分 析 磁 盘 的 盘 序 .MBR 开始 扇 区 号 、 每 个 条 带 的 扇 区 数 ( 即 条 带 大 
小 ) .数据 校 验 方向 (数据 校 验 方向 一 般 分 为 同步 和 异步 两 种 ) 和 磁盘 结构 (磁盘 结构 一 般 分 为 
左 结构 和 右 结 构 ) 。 


8. 选项 菜单 栏 是 由 常规 .目录 浏览 器 数据 解释 器 等 组 成 


O) 常规 选项 主要 是 对 WinHex 进行 常规 设置 ,包括 临时 文件 夹 的 位 置 . 图 像 和 备份 文件 
位 置 等 设置 。 

(2) 目录 浏览 器 选项 主要 是 对 目录 浏览 的 一 些 参数 设置 ,包括 显示 或 隐藏 项 目的 设置 等 。 

(3) 数据 解释 器 选项 主要 是 对 所 显示 的 数据 解释 器 进行 设置 ; 包括 大 头 位 序 设置 ,8 位 、 
16 位 .24 位 、32 位 显示 设置 ,日 期 时 间 显示 设置 等 等 ; 数据 解释 器 是 一 个 浮动 窗口 ,可 以 在 屏 
幕 窗 口中 任意 拖 搜 ; 当 和 鼠标 指针 位 于 十 六 进 制 区 或 文本 字符 区 时 ,数据 解释 器 可 以 很 方便 地 
将 鼠标 指针 当前 所 处 位 置 的 字 节 (或 字符 区 的 字符 在 十 六 进 制 区 的 对 应 字 节 ) 及 向 后 若干 个 字 
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车 的 十 六 进 制 数 解释 成 十 进 制 数 、 八 进 制 数 和 日 期 等 数据 显示 出 来 。 

(4) 编辑 模式 选项 主要 是 对 编辑 方式 进行 选择 ,编辑 模式 主要 有 : 只 读 ( 即 写 保护 ) 模 式 、 
缺 省 (可 编辑 ) 模 式 和 读 / 写 ( 可 编辑 ) 模 式 。 

(5) 字符 集 选 项 主要 是 在 “十 六 进 制 数 据 所 对 应 的 文本 区 ”以 什么 样 的 字 节 集 进行 显示 ， 
选项 有 : ANSI ASCII 码 .IBM ASCII 码 .EBCDIC 码 和 Unicode(UCS-2LE) 码 。 例 如 : 如 果 
选择 ANSI ASCII 码 , 则 在 “十 六 进 制 数据 对 应 的 文本 区 ”中 以 ANSI ASCI 码 进行 显示 。 


3.4.5 使 用 WinHex 注意 事项 


WinHex 是 一 款 非常 优秀 的 磁盘 编辑 软件 ,在 使 用 该 软件 时 一 定 要 小 心 .谨慎 ; 稍 有 不 慎 
将 会 给 用 户 带 来 难以 弥补 的 损失 。 作 者 经 过 多 年 的 实践 ,总 结 出 使 用 WinHex 软件 时 的 如 下 
几 点 注意 事项 , 供 读者 参考 。 

(1) 在 使 用 WinHex 前 ,用 户 需要 具有 一 定 的 硬盘 结构 .数据 存储 、 硬 盘 分 区 文件 系统 等 
相关 知识 作为 基础 。 

(2) 在 使 用 WinHex 软件 搜索 文本 功能 时 ,要 注意 搜索 的 文本 是 “ASCII/Code page” 还 是 
“Unicode”, 即 要 注意 搜索 文本 窗口 中 的 文本 选项 。 

G) 在 使 用 WinHex 软件 查看 磁盘 扇 区 数据 时 ,最 好 将 编辑 模式 设置 为 “只 读 ( 写 保护 )”， 
以 免 由 于 误 操 作 造成 损失 。 

操作 方式 : 菜单 栏 上 的 “选项 (0)”“ 编 辑 模式 (MD)...”, 在 弹出 的 “编辑 模式 (M)” 窗 口中 
选择 “Read-only Mode( Write Protected)”. 

CA) 在 对 硬盘 的 扇 区 进行 编辑 前 ,最 好 先 将 要 编辑 的 扇 区 以 文件 的 形式 存储 到 其 他 硬盘 
上 ,文件 名 最 好 以 扇 区 号 命名 。 

(5) 定期 或 者 不 定期 地 将 WinHex* 临 时 文件 夹 ” 中 存储 的 所 有 文件 删除 ,并 清空 回收 站 ; 
否则 可 能 会 影响 到 数据 的 正确 性 。 

注 :“ 临 时 文件 夹 ”的 位 置 可 以 通过 菜单 栏 上 的 “选项 (0) 习 常规 (G) ...”, 在 弹出 的 “常规 
选项 ”窗口 中 获得 。 

(6) 对 要 恢复 数据 的 磁盘 ,严禁 再 在 该 盘 上 存储 新 的 文件 ,更 不 要 对 磁盘 进行 整理 。 

(7) 在 使 用 “克隆 磁盘 (D)...” 功 能 对 磁盘 进行 克隆 时 ; 切记 : 一 定 要 区 分 清楚 “哪个 是 源 
盘 ”“ 哪 个 是 目标 盘 ”。 

(8) 在 使 用 “数据 解释 器 ”功能 显示 数据 的 十 进 制 或 日 期 时 间 时 ,请 将 光标 移动 到 要 解释 
数值 的 开始 位 置 , 同 时 还 要 注意 数据 的 存储 形式 , 即 是 小 头 位 序 还 是 大 头 位 序 。 注 : 系统 默认 
为 是 小 头 位 序 ; 当选 中 数据 解释 器 中 的 “Big Endian” 时 为 大 头 位 序 显示 光标 所 在 位 置 的 数值 。 


思考 题 


3.1 InsPro Disk2. 0 默认 安装 目录 是 
3.2 InsPro Disk 软件 安装 完成 后 ， 在 程序 琳 单 中 出 现 两 个 程序 运行 快捷 方式， 一 个 名 为 
; 男 一 个 名 为 P 
3.3 在 使 用 DiskCreator 创建 虚拟 硬盘 文件 时 ,默认 虚拟 盘 文 件 大 小 的 计量 单位 是 什 
Z? 虚拟 硬盘 文件 存储 在 哪个 目录 下 ? 默认 扩展 名 是 什么 ? 
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3.4 如 何 卸 载 InsPro Disk2. 0? 

3.5 使 用 Windows 7 操作 系统 的 虚拟 磁盘 管理 功能 创建 一 个 虚拟 磁盘 文件 后 ,虚拟 硬 
盘 文件 的 扩展 名 是 ,计量 单位 选项 主要 有 或 

3.6 在 DD 盘 的 根 目录 下 有 一 个 名 为 abc. txt 的 文件 ,使 用 记事 本 打开 后 的 内 容 如 图 3. 33 
所 示 ; 而 使 用 WinHex 打开 该 文件 后 的 内 容 如 图 3. 34 所 示 。 


abcdefghijklmnopqrstuvwxyz 


82656.8275 


图 3.33 使 用 记事 本 打开 文本 文件 abc. txt 


ES WinHex - ebcadl 
SSD RRO OO NEV IAD FO BQ) EOW 帮助 

[eee | 

abc Offset 0 1 2 34 567 

DA 00000000  D4 C6 C4 CF CA A1 CO AS C: 


9 ABCDEF > 
F7 CA po[op[oa]si 62 云南 省 昆明 市 . ,ab 
00000010 63 64 65 66 67 68 69 6A 6B 6C 6D 6E 6F 70 71 72 cdefghijklmnopqr 

Fea | 00000020 73 74 75 76 77 78 79 7A stuvwxyz s 
Page 1of1 | Offset ° =212 Block Ma | Size: na 


O° 


3.34 使 用 WinHex 打开 文本 文件 abc. txt 


(1) 通过 对 图 3. 33 和 图 3. 34 的 比较 ,得 知 “ 云 "和 “a” 的 ASCH 码 见 表 3. 1 所 列 ; 请 将 
表 3. 1 中 剩余 汉字 和 小 写 英文 字母 的 ASCII 码 填 人 到 表 3. 1 对 应 单元 格 中 。 


表 3.1 abe txt 文 件 内 容 对 应 汉字 和 英文 字母 的 ASCII 码 ( 存 储 形式 ) 


w = = 南 省 E 明 市 
ASCII 码 D4 C6 

英文 字母 a b € d e f g h i j k 1 m 
ASCII 码 61 

英文 字母 n o p q r s t u v w x y z 
ASCII 码 


(2) 在 图 3.34 中 ,将 abe. txt 文件 内 容 中 的 代码 “0D" 改 为 "61"”“0A? 改 为 “62”( 注 : 图 3. 34 
中 方 框 中 的 内 容 ) ,然后 存盘 并 退出 WinHex; 再 使 用 记事 本 打开 该 文件 ,请 写 出 在 记事 本 中 
查看 到 的 文件 内 容 。 

3.7 使 用 记事 本 软件 和 使 用 WinHex 打开 同一 个 文本 文件 所 查看 到 的 内 容 有 何 区 别 ? 

3.8 WinHex 的 专家 菜单 栏 主要 有 了 哪些 功能 ? 

3.9 某 用 户 将 一 个 Word 文档 ( 注 : 该 文档 内 容 是 连续 存储 的 ) 放 入 回收 站 并 且 将 回收 
站 清空 ; 但 他 又 忘记 了 该 文档 删除 前 的 文件 名 及 文件 的 存放 目录 ,可 以 使 用 WinHex 来 恢复 
该 文档 吗 ? 如 果 能 ,请 写 出 操作 步骤 ; 如 果 不 能 ,请 说 明 原因 。 

3.10 使 用 WinHex 打开 逻辑 磁盘 和 打开 物理 盘 有 何 区 别 ? 

3.11 如 果 当 前 打开 的 是 物理 磁盘 ,从 专家 菜单 栏 的 技术 细 目 报告 功能 ,我 们 可 以 获得 哪 
些 关 于 物理 磁盘 的 信息 ? 如 果 当 前 打开 的 是 逻辑 盘 , 从 专家 菜单 栏 的 技术 细 目 报告 功能 ,我 们 
又 可 以 获得 哪些 关于 逻辑 盘 的 信息 ? 

3.12 WinHex 的 重建 RAID 系统 提供 了 哪 几 种 磁盘 阵列 重组 功能 ? 
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3.13 在 “数据 解释 器 中 ?默认 显示 数据 的 方式 是 大 头 位 序 还 是 小 头 位 序 ? 如 何 来 改变 数 
据 解释 器 中 的 数据 显示 方式 ? 
3.14 如 何 使 用 "数据 解释 器 ”的 功能 来 查看 数据 ? 
3.15 WinHex 编辑 模式 主要 有 哪 几 种 ? 如 何 来 改变 WinHex 编辑 模式 ? 
3.16 某 用 户 的 U 盘 通 过 计算 机 管理 中 的 磁盘 管理 功能 附加 后 ,产生 一 个 逻辑 盘 , 盘 符 
为 G:,G 盘 的 文件 系统 为 FAT32, 整 个 U # 0 号 扇 区 偏 移 0X01BE—0X01CD 处 的 分 区 表 为 
“00 02 03 00 0B FE 3F 18 80 00 00 00 00 28 06 00”( 注 : 分 区 表 中 数据 的 存储 形式 为 小 头 位 
序 ) 。 相 对 扇 区 在 分 区 表 中 占 4 字 节 ( 即 阴影 部 分 ) ,其 存储 形式 .十 六 进 制 和 十 进 制 已 填 人 到 


表 3. 2 对 应 单元 格 中 。 


请 回答 下 列 问题 : 


(1) 分 区 表 中 最 后 4 字 节 ( 即 “00 28 06 00”) 为 总 扇 区 数 的 存储 形式 ,请 将 总 扇 区 数 的 存 
储 形式 .十 六 进 制 和 十 进 制 十 人 到 表 3. 2 对 应 单元 格 中 。 
(2) 每 个 扇 区 的 字 节 数 为 512 ,请 计算 G 盘 的 容量 .并 将 计算 结果 填 人 到 表 3. 2 对 应 单元 
格 中 ; GE: G 盘 容 量 ==G 盘 总 扇 区 数 X 每 个 扇 区 的 字 节 数 /1024/1024MB) 


表 3.2 整个 U 盘 0 号 扇 区 的 分 区 表 中 相对 扇 区 和 总 扇 区 数 


相对 扇 区 总 扇 区 数 GHAR 
对 应 分 区 
存储 形式 十 六 进 制 | 十 进 制 存储 形式 十 六 进 制 | 十 进 制 | (单位 : MB) 
G 盘 分 区 | 80 | 00 | 00 | 00 80 128 


(3) 请 将 G 盘 的 总 扇 区 数 填 人 到 表 3. 3 对 应 单元 格 中 ,请 计算 G 盘 在 整个 U 盘 中 的 位 
置 , 即 G AE U 盘 中 的 开始 扇 区 号 和 结束 扇 区 号 ,并 转换 成 对 应 的 十 六 进 制 填 人 到 表 3. 3 对 


应 单元 格 中 。 
表 3.3 G 盘 的 开始 扇 区 号 结束 扇 区 号 和 总 扇 区 数 (十 进 制 数 ) 
开始 扇 区 号 结束 扇 区 号 A 
分 区 表 对 应 盘 符 
十 六 进 制 十 进 制 十 六 进 制 十 进 制 十 六 进 制 十 进 制 
GA 


注 : 由 于 U 盘 的 分 区 表 存 储 在 整个 U 盘 的 0 号 扇 区 ,所 以 ,分 区 表 中 的 相对 扇 区 也 就 是 G 盘 在 整个 U 盘 中 的 开始 扇 
区 号 ; G 盘 结束 扇 区 号 =G 盘 开 始 扇 区 号 十 总 扇 区 数 一 1 


3.17 在 使 用 WinHex 时 ,应 该 注意 哪些 事项 ? 


“$ 


Windows 平 台 下 硬盘 分 区 


4.1 硬盘 分 区 与 主 引导 扇 区 结构 


硬盘 生产 商 将 硬盘 生产 出 来 后 ,硬盘 一 般 要 经 过 低级 格式 化 .初始 化 .建立 分 区 和 高 级 格 
式 化 这 4 个 步骤 后 ,才能 用 来 存储 数据 。 


4.1.1 低级 格式 化 


低级 格式 化 (Low Level Format) 就 是 将 整个 硬盘 中 的 盘面 划分 成 若干 个 磁道 ,将 每 个 磁 
道 划分 为 若干 个 鹿 区 ,又 将 每 个 扇 区 划分 为 标识 部 分 ID .间隔 区 GAP 和 数据 区 DATA 等 。 
低级 格式 化 是 针对 整 块 硬盘 的 ,是 初始 化 .建立 分 区 和 高 级 格式 化 之 前 一 项 非常 重要 的 工作 。 
每 块 硬盘 在 出 厂 之 前 ,低级 格式 化 已 由 硬盘 生产 商 完 成 ; 通常 情况 下 ,用 户 无 须 再 对 硬盘 进行 
低级 格式 化 操作 。 概 括 地 说 ,硬盘 低级 格式 化 主要 对 硬盘 做 了 以 下 6 项 工作 : 

(1) 测试 硬盘 盘面 介质 。 

(2) 对 每 个 扇 区 进行 读 / 写 检查 ,对 已 损坏 的 扇 区 做 “ 坏 扇 区 标记 ”。 

(3) 将 每 个 扇 区 的 数据 区 清 零 .并 重 写 校 验 值 。 

(4) 对 每 个 扇 区 重新 进行 编号 。 

(5) 写 磁道 伺服 信息 ,对 所 有 磁道 进行 重新 编号 。 

O 写 状 态 参 数 , 并 修改 特定 参数 。 

硬盘 是 计算 机 系统 中 最 重要 的 外 存储 器 ,存储 着 大 量 的 用 户 数据 ; 因此 ,使 用 时 要 重点 保 
护 ,不 到 万 不 得 已 (如 : 硬盘 出 现 许 多 坏 扇 区 ) , 千 万 不 要 轻易 对 硬盘 进行 低级 格式 化 。 


4.1.2 初始 化 


销售 商 或 用 户 在 对 硬盘 分 区 之 前 .还 需要 对 硬盘 进行 初始 化 操作 ; 对 硬盘 进行 初始 化 就 
是 选择 硬盘 的 分 区 形式 。Windows 7 平台 为 硬盘 提供 了 两 种 分 区 形式 , 即 MBR 分 区 形式 和 
GPT 分 区 形式 ( 注 : 有 关 硬 盘 初 始 化 过 程 , 请 读者 参照 3. 3. 3 节 )。 

对 硬盘 进行 初始 化 时 ,如 果 用 户 选择 MBR 分 区 形式 ,系统 在 硬盘 0 号 扇 区 写 和 人 主 引 导 记 
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录 、 磁 盘 签 名 和 结束 标志 ; 如 果 用 户 选 择 GPT 分 区 形式 ,系统 在 硬盘 0 号 扇 区 写 和 人 主 引导 记 
录 、 磁 盘 签 名 、 分 区 表 和 结束 标志 ,在 硬盘 1 号 扇 区 写 和 人 GPT 头 、2 号 扇 区 建立 微软 公司 保留 
分 区 、 倒 数 34 号 扇 区 建立 微软 公司 保留 分 区 、 倒 数 2 号 扇 区 写 和 人 GPT 头 备 份 。 


4.1.3 建立 分 区 


硬盘 初始 化 完成 后 ,就 可 以 在 硬盘 上 建立 分 区 ; 建立 分 区 的 方法 主要 有 以 下 4 种 : 

A) 在 DOS 下 ,通过 FDISK 命令 来 建立 。 

(2) 在 安装 系统 过 程 中 建立 分 区 。 

(3) 在 Windows 平 台 下 ,通过 计算 机 管理 中 的 磁盘 管理 功能 来 建立 分 区 。 

(A) 通过 其 他 分 区 软件 或 数据 恢复 软件 来 建立 分 区 。 

下 面 以 实例 的 形式 介绍 在 Windows 7 平台 下 建立 MBR 分 区 的 过 程 。 

例 4.1 在 磁盘 1 上 建立 一 个 MBR 分 区 ,分 区 大 小 为 197MB; 注 : 磁盘 1 是 素材 文件 
abcd40. vhd 通过 计算 机 管理 中 的 磁盘 管理 功能 附加 后 产生 的 虚拟 硬盘 ,该 虚拟 硬盘 已 经 过 
MBR 分 区 初始 化 ,操作 步骤 如 下 : 

(1) 在 计算 机 管理 窗口 中 ,选择 左 侧 “ 存 储 一 磁盘 管理 ,将 光标 移动 到 磁盘 1 中 “199MB 
未 分 配 ” 处 , 右 击 ,从 弹出 的 快捷 菜单 中 选择 “新 建 简单 卷 (DD)...”, 如 图 4. 1 所 示 。 

(2) 出 现 “ 新 建 简单 卷 向 导 ” 第 1 个 窗口 , 单 击 * 下 一 步 按 钮 ; 出 现 “ 新 建 简单 卷 向 导 ” 第 2 
个 窗口 ,在 “简单 卷 大 小 (MB)(S):” 右 侧 列表 框 中 输入 或 者 选择 "197”, 如 图 4.2 所 示 , 单 击 
“下 一 步 ” 按 钮 。 


小 
大和 人 


itotze | wa ) 


图 4.1 新 建 简单 卷 图 4.2 输入 简单 卷 大 小 (MB)(S) 


注 : 用 户 在 建立 分 区 时 ,输入 简单 卷 的 大 小 197MB 后 会 转换 为 总 扇 区 数 存 储 在 分 区 表 

中 ,存储 形式 采用 小 头 位 序 , 占 4 字 节 , 即 存储 形式 为 “00 28 06 00”; 
197MB-- 512 S í / 83 £ =197 X 1024X 1024 字 节 二 512 字 节 / 扇 区 
一 403 456 扇 区 ( 即 0X062800 B IX) 

(3) 出 现 “ 新 建 简单 卷 向 导 ” 第 3 个 窗口 ,分配 驱动 器 号 和 路 径 ,这 里 选择 “H”, 即 该 分 区 
表 对 应 的 逻辑 盘 为 H 盘 , 如 图 4.3 所 示 , 单 击 “ 下 一 步 ” 按 钮 。 

(4) 出 现 “ 新 建 简单 卷 向 导 ” 第 4 个 窗口 ,格式 化 分 区 ,用 户 可 以 选择 “不 格式 化 这 个 卷 
(D)”, 也 可 以 选择 * 按 下 列 设 置 格式 化 这 个 卷 ", 这 里 选择 “不 格式 化 这 个 卷 (D)”, 如 图 4.4 所 
示 , 单 击 “ 下 一 步 ” 按 钮 。 

至 此 ,在 磁盘 1 的 0 号 扇 区 偏 移 0X01BE—0X01CD 处 建立 了 一 个 MBR 分 区 表 , 分 区 表 
的 长 度 为 16 字 节 ,其 存储 形式 为 "00 02 03 00 06 FE 3F 18 80 00 00 00 00 28 06 00”, 该 分 区 
表 对 应 盘 符 为 H:, 大 小 为 197MB, 从 分 区 表 可 以 获得 H 盘 在 磁盘 1 的 开始 扇 区 号 为 
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0X00000080( 即 128) ,总 扇 区 数 为 0X00062800, 通 过 分 区 表 中 的 开始 扇 区 号 和 总 扇 区 数 可 以 
计算 H 盘 的 结束 扇 区 号 为 0X06287F 。 


Bi v 
Grota (wa 


图 4.3 分 配 驱动 器 号 与 路 径 图 4.4 格式 化 分 区 


于 用 户 没有 对 建立 的 分 区 进行 (快速 ) 格 式 化 操作 ,所 以 MBR 分 区 表 中 的 分 区 标志 为 
。 用 户 对 建立 的 分 区 进行 (快速 ) 格 式 化 操作 ,如 果 文 件 系统 选择 “FAT32”, 那 么 分 区 表 
a 为 “0B? 或 者 “0C”; 如 果 文 件 系 统 选择 “NTFS”, 那 么 分 区 表 中 的 分 区 标志 为 
aoga 

ANRE FADER, 人 ee 


4.1.4 删除 分 区 


一 般 来 说 ,删除 分 区 的 方法 主要 有 以 下 4 种 : 

(1) 在 DOS 下 ,通过 FDISK 命令 来 删除 分 区 。 

(2) 在 安装 系统 过 程 中 删除 分 区 。 

(3) 在 Windows 平台 下 ,通过 计算 机 管理 中 的 磁盘 管理 功能 删除 分 区 。 

(4) 通过 其 他 分 区 软件 或 数据 恢复 软件 删除 分 区 。 

例 4.2 删除 磁盘 1 中 建立 的 MBR 分 区 ; 操作 步骤 如 下 : 

(1) 在 计算 机 管理 窗口 中 ,选择 左 侧 “ 存 储 ”- 盖 磁盘 管理 ”。 

(2) 将 光标 移动 在 磁盘 1 中 的 “(H:)197MB RAW? 处 , 右 击 ,从 弹出 的 快捷 菜单 中 选择 
“删除 卷 (D).…” 后 ,弹出 “删除 简单 卷 "警告 窗口 , 单 击 “ 是 ”按钮 。 

至 此 ,磁盘 1 的 0 号 扇 区 偏 移 0X01BE—0X01CD 处 的 值 已 被 16 个 “00” 填 充 , 即 MBR 分 
区 已 经 被 删除 。 


4.1.5 高 级 格式 化 


硬盘 分 区 结束 后 ,在 硬盘 中 就 建立 了 一 个 个 相对 “独立 ”的 逻辑 盘 ( 或 者 称 为 卷 ) ,这 些 相对 
“独立 ”的 逻辑 盘 还 需要 进行 高 级 格式 化 后 ,才能 够 用 来 存储 数据 。 

高 级 格式 化 就 是 在 操作 系统 环境 下 ,对 逻辑 盘 按 指定 文件 系统 的 要 求 进行 的 一 种 结构 重 
组 ; 具体 来 说 ,就 是 对 逻辑 盘 进 行 初始 化 ,对 逻辑 盘 中 的 扇 区 进行 检测 ,如果 存在 坏 扇 区 , 则 对 
其 进行 标注 ,生成 引导 区 信息 等 ,以 便 操作 系统 能 够 对 逻辑 盘 进行 正常 的 管理 。 

高 级 格式 化 还 有 另 一 种 方式 就 是 快速 格式 化 ,快速 格式 化 省 略 了 高 级 格式 化 中 检测 扇 区 
这 一 步骤 ,直接 按 文件 系统 要 求 对 逻辑 盘 进 行 重组 。 快 速 格式 化 提高 了 格式 化 的 速度 , 却 牺 牲 
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了 可 靠 性 。 经 快速 格式 化 的 逻辑 盘 , 可 以 用 磁盘 检测 工具 对 逻辑 盘 进 行 扫描 来 校 验 扇 区 ,以 保 
证 数据 存 取 的 可 靠 性 。 
注 : 对 于 格式 化 而 言 ,一 般 情 况 下 ,如 果 没 有 作 特 别 说 明 ,就 是 指 高 级 格式 化 。 


4.1.6 读 / 写 主 引 导 扇 区 


对 硬盘 主 引 导 扇 区 进行 读 / 写 操作 ,可 以 使 用 WinHex 软件 ,或 者 在 DOS 方式 下 使 用 
debug. exe 调用 INT 13 中 断 等 等 。 

这 里 只 介绍 使 用 WinHex 软件 读 / 写 硬盘 主 引 导 扇 区 ,在 Windows XP 操作 系统 下 ,操作 
步骤 如 下 : 

(1) 启动 WinHex 软件 。 

(2) 在 菜单 栏 上 选择 “工具 ”~~“ 打 开 磁盘 ”。 

(3) 在 “Select Disk” fă O HY Physical Media 下 选择 要 编辑 的 物 
理 磁盘 , 单 击 “OK? 按 钮 ; 例如 : 选择 [abcd41. vhd], 如 图 4.5 所 示 。 

(4) 在 “Partitioning style: MBR” 中 选择 “Start sectors 0”, 即 
将 硬盘 主 引导 扇 区 读 人 到 内 存 ; 可 以 对 硬盘 主 引导 扇 区 进行 编辑 ， 
单 击 “ 保 存 ”" 完 成 写 操作 。 

例 4.3 由 于 这 里 使 用 的 是 虚拟 磁盘 文件 ,其 操作 方法 为 ; 以 【二 时 于 
文件 的 形式 打开 素材 文件 abcd41. vhd, 并 映像 成 为 磁盘 。 操 作 步 。 图 4.5 选择 物理 盘 
又 如 下 : 

(1) 启动 WinHex 软件 。 

(2) 在 菜单 栏 上 选择 “文件 (F) 一 打开 (O)...”, 在 弹出 的 “Open Files” 窗 口中 选择 abcd41 
. vhd 文件 。 

(3) 在 菜单 栏 上 选择 “专家 (1) 一 映像 文件 为 磁盘 (A)”; 单 击 “Start sectors 64. 0KB 0” 即 
可 选择 硬盘 主 引 导 扇 区 ,如 图 4.6 所 示 。 


| cas wa | 


== moa] et oa 3 4 S 6 7 0 9 K E C p E Fr 
ong sre | 000001A0 6? 20 GF 70 65 72 61 74 69 GE 67 20 73 79 73 74 g oporoting syst A 
Bytes per sector: s12 | 00000180 6S 6D 00 00 OD 63 7B 9A 05 DA FE 4F 00 00 00 02 I. 
Sai menesi? | 0000010 03 o0 oB FE 3F 18 80 00 oo 00 00 28 06 00 00 00 
000001D0 00 00 00 00 00 00 00 0O 00 00 00 00 00 00 00 00 
«a | ooooo:£0 o0 oo oo ao oo oo oo oo oo oo oo oo oo 00 oo oo 
Raiana soor No mwaj o000001F0 00 00 0000 00 00 00 00 00 00 00 00 00 00 SS AA 
Secor o or apes0r onset e =o, aoe 


4.6 选择 整个 硬盘 0 号 扇 区 
(4) 如 果 要 对 主 引 导 扇 区 进行 编辑 操作 ,直接 在 工作 区 进行 编辑 操作 即 可 ,如 果 要 存盘 ， 
单 击 “ 工 具 栏 "上 的 “ 辆 ”图 标 或 者 选择 菜单 栏 上 的 “文件 一 存储 扇 区 ”, 出现 警 告 窗口 , 单 击 
“OK” 按 钮 即 可 。 
4.1.7 主 引 导 扇 区 结构 


硬盘 经 分 区 后 ( 注 : 本 节 主 要 讨论 MBR 分 区 ,有 关 其 他 分 区 ,请 读者 自行 查询 有 关 资 料 )， 
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就 形成 了 硬盘 主 引导 扇 区 的 结构 。 一 般 情况 下 ,硬盘 的 主 引导 扇 区 位 于 硬盘 的 0 磁头 0 柱 面 
1 扇 区 ( 即 整个 硬盘 的 0 号 扇 区 ) ,该 扇 区 的 信息 可 以 通过 以 下 4 种 方式 中 的 一 种 来 建立 : 

(1) 通过 分 区 命令 (如 : DOS 操作 系统 下 的 FDISK. EXE 命令 ) 来 建立 。 

(2) 安装 操作 系统 时 随 安装 过 程 自动 建立 。 

(3) Windows 操作 系统 下 ,通过 计算 机 管理 下 的 磁盘 管理 来 建立 。 

(4) 通过 其 他 分 区 软件 或 者 数据 恢复 软件 来 建立 。 

该 扇 区 由 4 部 分 组 成 , 即 硬盘 主 引 导 记 录 、 磁 盘 签名 、 分 区 表 和 结束 标志 。 正 常 的 主 引导 
扇 区 ( 注 : 素材 文件 abcd41. vhd 映像 为 硬盘 后 的 0 号 扇 区 ) 如 图 4.7 所 示 。 


Offset 01234567 89ABCDEF 
00000000 33 CO 8E DO BC 00 7C 8E CO 8E D8 BE 00 7C BF 00 34A. |#7?|? 
00000010 06 B9 00 02 FC F3 A4 50 68 1C 06 CB FB B9 04 00 

00000020 BD BE 07 80,7E 00,00 7C 0B OF 85 OE 01 83 C5 10 

= EF Sites: 

00000040 B4 7 FB 09 

00000050 F7 C1 01 00 74 03 FE 46 10 66 60 80 7E 10 00 74 

00000060 26 66 68 00 00 00 00 66 FF 76 08 68 00 00 68 00 

00000070 7C 68 01 00 68 10 00 B4 42 8A 56 00 8B F4 CD 13 |h.. 

00000080 9F 83 C4 10 9E EB 14 B8 01 02 BB 00 7C 8A 56 00 #424. 2.213%. 
00000090 8A 76 01 8A 4E 02 8A 6E 03 CD 13 66 61 73 1C FE f. %7. #t. ?fas. ? 
000000A0 4E 11 75 OC 80 7E 00 80 OF 84 8A 00 B2 80 EB 84 N. u. €”. €. $. RJ 
00000080 55 32 E4 8A 56 00 CD 13 5D EB 9E 81 3E FE 7D 55 U2 $# V. 2]. >WtU 
000000C0 AA 75 6E FF 76 00 E8 8D 00 75 17 FA BO D1 E6 64 n v.?. u. U d 
000000D0 E8 83 00 BO DF E6 60 E8 7C 00 BO FF E6 64 E8 75 $. RESIN. ? 链 钦 
000000E0 00 FB B8 00 BB CD 1A 66 23 C0 75 3B 66 81 FB 54 .者 . 煌 .f# 线 ;f. W 
000000F0 43 50 41 75 32 81 F9 02 01 72 2C 66 68 07 BB 00 CPAu2.?.r, fh. ? 
00000100 00 66 68 00 02 00 00 66 68 08 00 00 00 66 53 66 .fh....fh....fSf 
00000110 53 66 55 66 68 00 00 00 00 66 68 00 7C 00 00 66 SfUfh.... fh. |.. f 
00000120 61 68 00 00 07 CD 1A 5A 32 F6 EA 00 7C 00 00 CD ah... ?Z2 #9. |..? 
00000130 18 AO B7 07 EB 08 AO B6 07 EB 03 AO B5 07 32 E4 4]. fih. 24. 2? 
00000140 osa Q7 8B FO AC 3C 00 74 09 BB 07 00 B4 OE CD... 42. t. ?.?? 
00009 B FD 2B C9 E4 64 EB 00 24 02 E0 F8 . HA3? d?3. th 
000 76 61 6C 69 64 20 70 61 727469 $. Hë nvalid parti 


6C 65 00 45 72 72 6F 72 
20 6F 70 65 72 61 74 69 


tion table. Error 
loading operati 
00000190 > in 
000001A0 
000001B0 
000001C0 
000001D0 
000001E0 
000001F0 


67 20 6F 70 65 72 61 69 6E 67 20 73 79 73 74 
65 6D 00 00 00 63 7B 9A D FJ 00 00 00 02 
03 00 OB FE 3F 18 80 00 00 00 00 28 06 00 00 00 
00 00 00 00 00 AREO 00 00 00 00 00 00 
00 00 00 00 00 00 00 00 00 00 00_00, 


00 00 00 00 00 00 00 00 00 00 00 00 00 00 [55 AN 


图 4.7 硬盘 0 号 扇 区 原 代 码 


如 果 计 算 机 用 硬盘 启动 ,计算 机 自 检 完 成 后 ,硬盘 的 主 引导 扇 区 首先 被 调和 人 到 内 存 , 并 将 
控制 权 转移 到 内 存 中 的 主 引导 扇 区 开始 位 置 , 然 后 开始 执行 主 引 导 记 录 。 


1. 硬盘 主 引导 记录 


正常 的 硬盘 主 引导 记录 大 约 占用 硬盘 主 引导 扇 区 前 434 字 节 ,一 般 从 扇 区 偏 移 0X0000 
开始 至 扇 区 偏 移 0X01B1 结束 ; 主要 作用 是 寻找 活动 分 区 并 将 活动 分 区 的 引导 记录 调和 到 内 
存 并 执行 活动 分 区 的 引导 记录 。 如 果 该 硬盘 主 引导 扇 区 被 计算 机 病毒 感染 ,或 者 用 户 安装 了 
一 键 还 原 软件 ,还原 卡 等 , 则 主 引 导 扇 区 一 般 会 被 移动 到 硬盘 0 磁头 0 柱 面 2 扇 区 至 0 磁头 0 
柱 面 63 扇 区 之 间 的 某 一 个 扇 区 ( 注 : 假设 硬盘 每 个 磁道 的 扇 区 数 为 63) ,具体 位 置 与 病毒 程 
序 、 一 键 还 原 软件 或 还 原 卡 的 安装 软件 有 关 。 该 引导 记录 被 修改 后 ,成 为 非 正常 的 主 引导 记 
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录 。 正 常 的 硬盘 主 引导 记录 如 下 ( 注 : 该 记录 是 硬盘 主 引导 记录 被 调和 内存 后 ,并 开始 执行 的 


记录 ) 。 


0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
:7C16 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000:01 
0000: 
0000: 
0000:01 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 


0000 


7C00 
7C01 
7C03 
7C05 
7C08 
7COA 
7C0B 
7C0C 
7C0D 
7COE 
7COF 
7C10 
7C13 


7C17 
7C18 
061D 
0620 
0622 
0625 
0627 
062A 
062C 
062F 
0631 
0633 
0635 
0637 
063A 
063C 
063F 
0641 
0643 
0646 
648 
064B 
064C 
64E 
0650 
0651 
0654 
0656 
0658 
0659 
065B 
065D 
0660 
0663 
0666 


Cit 
XOR AX, AX 

MOV SS, AX 

MOV SP, 7C00 

MOV SI, SP 

PUSH AX 

POP ES 

PUSH AX 

POP DS 

STI 

CLD 

MOV DI, 0600 

MOV CX, 0100 
REPNZ 

MOVSW 

JMP 0000:061D 
MOV SI, 07BE 

MOV BL, 04 

CMP BYTEPTR[SI], 80 
JZ 0635 

CMP BYTE PTR[SI], 00 
JNZ 0648 

ADD SI, +10 

DEC BL 

JNZ 0622 

INT 18 

MOV DX, [SI] 

MOV CX, [SI + 02] 
MOV BP, SI 

ADD SI, +10 

DEC BL 

JZ 065D 

CMP BYTE PTR[ SI], 00 
JZ 63C 

MOV SI, 068B 
LODSB 

CMP AL, 00 

JZ 065B 

PUSH SI 

MOV BX, 0007 

MOV AH, OE 

INT 10 

POP SI 

JMP 064B 

JMP 065B 

MOV DI, 005 

MOV BX, 7C00 

MOV AX, 0201 
PUSH DI 


;关中 断 
;设置 堆栈 段 地址 为 0000 


;设置 堆栈 指针 为 7C00 
; 置 SI = 7C00 


; 置 ES= 0000 


; 置 DS= 0000 

; 开 中 断 

;清除 方向 

;DI= 0600 

;移动 0X0100 字 节 

;把 MBR 从 7C00 移动 到 0600 


; 跳 至 0000:061D, 及 程序 的 下 一 条 指令 
;指向 第 一 个 分 区 表 的 首 地 址 
;硬盘 分 区 个 数 为 4 送 BL 

;SI 所 指 分 区 是 活动 分 区 ? 
;是 , 跳 转 0635 继续 查看 其 他 分 区 
;不 是 ,是 否 为 非 活 动 分 区 

;不 是 , 跳 转 , 分 区 表 出 现 异常 

; 增 量 表 指 针 加 0X10, 下 一 个 分 区 表 
;计数 减 1 

;继续 检查 下 一 个 分 区 中 
;没有 找到 活动 分 区 启动 ROM BASIC 
;保存 磁头 号 、 驱 动 器 号 到 DH、DL 
;保存 磁道 号 、 扇 区 号 到 CH、CL 
;保存 当前 分 区 首 地 址 到 BP 

; 增 量 表 指针 加 0x10 

;计数 减 1 

;如 果 所 有 分 区 检查 结束 ,开始 引导 
;是 否 为 非 活动 分 区 

;是 ,循环 

; SI 指向 字符 串 "Invalid partition table" 
;取得 消息 的 字符 

;判断 消息 的 结尾 
;显示 错误 信息 后 挂 起 

;保存 SI 

;BL= 字符 颜色 ,BH= 页 号 
;显示 一 个 字符 


;恢复 SI 
;循环 显示 剩 下 的 字符 
; 死 循环 挂 起 

;设置 尝试 的 次 数 
;设置 读 盘 缓冲 区 

; 读 入 一 个 扇 区 

;保存 DI 
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0000:0667 INT 13 ;把 扇 区 读 入 0000: 7C00 

0000:0669 POP DI ;恢复 DI 

0000:066A JNB 0678 7 读 扇 区 操作 成 功 , 转 0678 

0000:066C XOR AX, AX ; 读 盘 操作 失败 ,硬盘 复位 

0000:066E INT 13 

0000:0670 DEC DI ;计数 器 减 1 

0000:0671 JNZ 0660 ;剩余 次 数 不 为 零 ,继续 尝试 

0000:0673 MOV SI, 06A3 ;SI 指向 字符 串 "Error loading operation system" 
0000:0676 JMP 064B ;显示 出 错 信息 ,并 挂 起 

0000:0678 MOV SI, 06C2 ;SI 指向 字符 串 "Missing operation system" 
0000:067B MOV DI, 7DFE ;指向 分 区 结束 标志 

0000:067E CMP WORD PTR[DI], AA55 ; 自 举 标志 是 AA55 吗 ? 

0000:0682 JNZ 064B ;不 正确 ,显示 出 错 信息 , 挂 起 

0000:0684 MOV SI,BP ;是 ,恢复 可 引导 分 区 首 地 址 与 SI 
0000:0686 JMP 0000:7C00 ;一 切 正 常 , 转 分 区 引导 记录 执行 


0000:068B DB "Invalid partition table" 

0000:06A3 DB "Error loading operation system" 

0000:06C2 DB "Missing operation system" 

如 果 一 块 硬盘 不 引导 操作 系统 ,可 以 没有 主 引 导 记 录 , 即 主 引 导 记 录 代 码 可 以 为 全 
“00”, 


2. Windows 磁盘 签名 


Windows 磁盘 签名 占用 4 字 节 ,位 于 扇 区 偏 移 0X01B8~0X01BB 处 ,是 Windows 系统 对 
硬盘 初始 化 时 写 和 人 的 一 个 磁盘 标签 , 它 是 MBR 扇 区 中 不 可 缺少 的 一 个 组 成 部 分 , Windows £ 
统 依靠 它 来 识别 硬盘 ,如 果 磁 盘 签 名 丢失 , Windows 系统 就 会 认为 该 硬盘 没有 初始 化 ， 
Windows 会 自动 产生 一 个 磁盘 签名 。 


3. 分 区 表 


分 区 表 位 于 扇 区 偏 移 0X01BE 一 0X01FD 处 ,是 该 扇 区 中 最 重要 的 组 成 部 分 ;， 在 图 4.7 
中 ,只 有 一 个 MBR 分 区 表 , 分 区 表 为 "00 02 03 00 0B FE 3F 18 80 00 00 00 00 28 06 00”。 从 
分 区 表 可 知 , 该 逻辑 盘 占 用 整个 硬盘 扇 区 号 范围 为 0X80 一 0X06287F; 详 见 本 章 4.2 节 。 注 : 
分 区 表 中 的 数据 存储 形式 采用 小 头 位 序 。 


4. 结束 标志 (有 效 标志 ) 


有 的 资料 也 称 有 效 标志 ,位 于 扇 区 偏 移 0X01FE 一 0X01FF 处 ,其 值 固定 为 “55 AA”, 即 
[LO1FEJ] 二 55,[L01FFJ] 二 AA。 如 果 不 是 “55 AA”, 附 加 该 硬盘 后 ， 
在 计算 机 管理 窗口 中 会 现 出 “磁盘 没有 初始 化 ”提示 ,如 图 4. 8 
所 示 。 

行 初始 化 "操作 ,硬盘 0 号 记 区 的 MBR 分 区 表 将 被 删除 ; 此 时 ， 
只 要 将 扇 区 最 后 两 个 字 节 的 值 修改 为 “55 AA” 即 可 排除 此 故障 。 图 4.8 有 效 标志 被 破坏 后 
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4.2 硬盘 MBR 分 区 


4.2.1 MBR 分 区 分 类 


MBR 分 区 是 目前 微型 计算 机 中 使 用 比较 多 的 一 种 分 区 形式 。 如 果 按 分 区 的 作用 来 划分 ， 
可 以 将 分 区 分 为 主 逻 辑 盘 分 区 、 扩 展 磁盘 分 区 、 人 逻辑 盘 分 区 、 人 逻辑 盘 链 接 项 ( 注 : 有 的 资料 又 称 
为 子 扩展 分 区 ) 和 隐藏 分 区 。 描 述 分 区 对 应 的 数值 称 为 分 区 表 。 

(1) 主 迎 辑 盘 分 区 (简称 主 分 区 ) 表 : 存储 在 硬盘 0 磁头 0 柱 面 1 扇 区 ( 即 整 个 硬盘 逻辑 0 
号 扇 区 ) , 除 扩展 分 区 以 外 的 分 区 ,该 分 区 的 开始 地 址 对 应 着 一 个 逻辑 盘 的 开始 扇 区 ,也 就 是 该 
逻辑 盘 的 0 号 扇 区 , 即 逻 辑 盘 的 DBR 。 

(2) 扩展 磁盘 分 区 (简称 扩展 分 区 ) 表 : 存储 在 硬盘 的 0 磁头 0 柱 面 1 扇 区 ( 即 整 个 硬盘 逻 
辑 0 号 扇 区 ) ,分 区 标志 为 0X05 或 0XOF ,该 分 区 的 开始 扇 区 对 应 一 个 逻辑 扇 区 , fE 2 2 A 83 
区 中 存储 着 一 个 分 区 表 ( 注 : 该 分 区 表 对 应 着 一 个 多 辑 盘 ) 或 两 个 分 区 表 ( 其 中 : 一 个 分 区 表 
对 应 一 个 逻辑 盘 ,而 另 一 个 对 应 逻辑 盘 链接 项 表 ) 。 

(3) 逻辑 盘 分 区 表 : 在 扩展 分 区 中 ,如 果 再 建立 一 个 多 辑 盘 , 那 么 ,该 逻辑 盘 的 分 区 表 就 
存储 在 扩展 分 区 的 开始 扇 区 中 。 

(4) 逻辑 盘 链接 项 表 : 在 扩展 分 区 中 ,如 果 再 建立 两 个 以 上 的 逻辑 盘 , 则 将 产生 一 个 以 上 
的 逻辑 盘 链 接 项 ,逻辑 盘 链 接 项 的 数量 等 于 扩展 分 区 中 逻辑 盘 的 数量 减 1。 例 如 : 如 果 在 扩展 
分 区 中 再 建立 三 个 逻辑 盘 , 则 将 产生 两 个 多 辑 盘 链 接 项 ; 在 扩展 分 区 中 ,使 用 二 叉 树 结构 对 由 
辑 盘 分 区 表 和 人 逻辑 盘 链 接 项 进行 管理 。 

(5) 隐藏 分 区 表 : 隐藏 分 区 是 指 在 资源 管理 器 中 ,用 户 不 能 查看 到 该 分 区 对 应 逻辑 盘 的 
分 区 形式 ,隐藏 分 区 表 一 般 存放 在 整个 硬盘 的 0 号 扇 区 ,分 区 标志 一 般 为 0X12.0X1B.0X1C. 
0X1D.0X1E 和 0XDE 等 等 。 用 户 只 要 修改 其 分 区 标志 ,并 重新 附加 该 硬盘 后 ,在 资源 管理 器 
中 便 可 以 查看 到 该 分 区 对 应 的 逻辑 盘 符 。 


4.2.2 MBR 分 区 表 存 储 方式 

硬盘 的 寻 址 方式 主要 有 CHS( 即 柱 面 、 磁 头 和 扇 区 ) 寻 址 方式 和 LBA( 即 逻辑 块 ) 寻 址 方式 
两 种 。 按 数据 存 取 方 式 可 以 将 分 区 表 的 存储 方式 分 为 CHS 方式 和 LBA 方式 两 种 。 

1. CHS 方式 

这 里 以 第 一 个 分 区 表 为 例 , 分 区 表 结 构 如 图 4.9 所 示 ,说 明 如 下 : 


01BE 01CD 


| aE pamane | 分 区 标志 结束 物理 地 址 相对 扇 区 | ŽAKA 


图 4.9 CHS 存 取 方 式 下 ,MBR 分 区 表 存 储 结 构 
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(1) [01BE] 表 示 自 举 标 志 , 该 值 取 0X80 时 表示 该 分 区 可 以 自 举 , 取 0X00 时 表示 该 分 区 
不 可 自 举 , 其 他 值 为 非法 。 

(2) [01BF~01C1] 表 示 该 分 区 开始 物理 地 址 ; 其 中 : [01BF] 表 示 该 分 区 开始 磁头 号 ; 
[ol1Co] 中 的 Bit, 一 Bit。 表示 该 分 区 开始 扇 区 号 ( 即 该 字 节 的 低 6 位 表示 该 分 区 开始 扇 区 号 )， 
Bit, — Bit, 分 别 表示 该 分 区 开始 柱 面 号 的 Bite — Bit ; [01C1] 表 示 该 分 区 开始 柱 面 号 的 Bit, 一 
Bit ,与 [01C0] 中 的 Bit 一 Bits 一 起 共计 10 位 表示 该 分 区 开始 柱 面 号 。 

(3) [01C2] 表 示 该 分 区 标志 , 即 该 分 区 所 对 应 文件 系统 的 类 型 。 该 字 节 取 不 同 值 时 含义 
不 同 , 详 见 表 4.1 所 列 。 

(4) [01C3 一 01C5] 表 示 该 分 区 的 结束 物理 地 址 ; 其 中 : [01C3] 表 示 该 分 区 结束 磁头 号 ; 
[01C4] 中 的 Bit, 一 Bit 表示 该 分 区 结束 扇 区 号 ( 即 该 字 节 的 低 6 位 表示 该 分 区 结束 扇 区 号 )， 
Bit 一 Bits 分 别 表 示 该 分 区 结束 柱 面 号 的 Bits 一 Bits ; [01C5] 表 示 该 分 区 结束 柱 面 号 的 Bit, 一 
Bito ,与 [01C4] 中 的 Bit, 一 Bits 一 起 共计 10 位 表示 该 分 区 的 结束 柱 面 号 。 

(5) [01C6 一 01C9] 表 示 该 分 区 的 相对 扇 区 ;， 对 于 主 分 区 表 和 扩展 分 区 表 是 指 相 对 于 主 
引导 扇 区 ( 即 0 磁头 0 柱 面 1 扇 区 ) 的 扇 区 数 ; 对 于 D 盘 分 区 表 和 链接 项 是 指 相对 于 扩展 分 
区 的 开始 物理 地 址 的 扇 区 数 ; 对 于 各 逻辑 盘 是 指 相对 于 该 好 辑 盘 链 接 项 的 扇 区 数 ,该 值 占 
4 字 节 。 

(6) [01CA 一 01CD] 表 示 该 分 区 总 扇 区 数 ; 即 该 分 区 可 用 总 扇 区 数 , 该 值 占 4 字 节 。 

目前 ,CHS 存储 方式 已 经 基本 不 再 使 用 ,但 是 当 硬 盘 总 柱 面 数 小 于 1023 时 ,从 表面 上 看 
好 像 仍 是 CHS 存储 方式 。 


2. LBA 方式 


这 里 以 第 一 个 分 区 表 为 例 ,分 区 表 结 构 如 图 4. 10 所 示 ,说 明 如 下 : 


01BE 01CD 


neha | 未 定义 ti | 未 定义 | 相对 启 区 | 总 扇 区 数 | 


图 4.10 LBA 存 取 方式 下 ,MBR 分 区 表 存 储 结 构 


(1) [01BEJ 表 示 该 分 区 的 自 举 标志 ,该 值 取 0X80 时 表示 该 分 区 可 以 自 举 , 取 00 时 表示 
该 分 区 不 可 自 举 ,其 他 值 为 非法 。 

(2) [01BF~01C1]Æ LBA 存 取 方 式 下 没有 定义 ,一 般 情况 下 ,该 值 可 以 取 成 与 CHS 存 
取 方 式 下 的 值 。 如 果 开 始 柱 面 超过 1023 时 ,对 于 扩展 分 区 和 接 链 项 该 值 一 般 为 [01BF] = 
0X00.[01C0]=0XC1 和 [01C1] 二 0XFF; 而 对 于 人 逻辑 盘 分 区 表 , 该 值 一 般 为 LC01BF] = 0X01, 
[01C0]=0XC1 和 [01C1] 二 0XFF ,当然 也 可 以 是 其 他 任何 值 。 

(3) [01C2] 表 示 该 分 区 的 标志 , 即 该 分 区 所 对 应 文件 系统 的 类 型 ,该 字 节 取 不 同 值 时 含义 
不 同 , 详 见 表 4. 1 所 列 。 

(4) [01C3 一 01C5] 在 LBA 存 取 方 式 下 未 定义 ,一 般 情 况 下 ,该 值 可 以 取 成 与 CHS 存 取 
方式 下 的 值 。 如 果 结 束 柱 面 超过 1023 时 .对 于 扩展 分 区 和 逻辑 盘 分 区 该 值 一 般 为 [0o1C3] 一 
OXFE.[01C4]=0XFF 和 [01C5] 二 0XFF ,当然 也 可 以 是 其 他 任何 值 。 


表 4.1 分 区 标志 说 明 表 (十 六 进 制 ) 

标志 说 明 标志 说 明 标志 说 明 

00 Empty 4D QNX4. x A6 Open BSD 

01 FAT12 4E QNX4. x2ndpart A7 NeXT STEP 

02 XENIX root 4F QNX4. x3rdpart A8 Darwin UFS 

03 XENIX 50 On Track DM A9 Net BSD 

04 FAT16 <32M 51 On Track DM6Aux AB Darwin boot 

05 Extended 52 CP/M B7 BSD Ifs 

06 FAT16 53 OnTrackDM6Aux B8 BSDI swap 

07 HPFS/NTFS 54 OnTrackDM6 BB Boot Wizardhid 

08 AIX 55 EZ-Drive BE Solaris boot 

09 AIX bootable 56 Golden Bow Cl DRDOS/sec(FAT) 
0A OS/2 BootManag 5C Priam Edisk C4 DRDOS/sec(FAT) 
0B Win FAT32 61 Speed Stor C6 DRDOS/sec(FAT) 
0C Win FAT32(LBA) 63 GNUHUR DorSys C7 Syrinx 

0E Win FAT16(LBA) 64 Novell Netware DA Non-FS data 

OF Win Ext'd( LBA) 65 Novell Netware DB CP/M/CTOS 

10 OPUS 70 Disk SecureMult DE Dell Utility 

11 Hidden FAT12 75 PC/IX DF Boot It 

12 Compaq diagnost 80 Old Minix El DOS access 

14 Hidden FAT16 81 Minix/oldLin E3 DOSR/O 

16 Hidden FAT16 82 Linux swap E4 Speed Stor 

17 Hidden HPFS/NTFS 83 Linux EB BeOSfs 

18 AST Smart Sleep 84 OS/2 hidden C; EE EFI GPT 

1B Hidden FAT32 85 Linux extended EF EFI FAT12/16 

1C Hidden FAT32(LBA) 86 NTFS Volume set Fo Linux /PA-RISCb 
1E Hidden LBA VFAT 87 NTFS Volume set F1 Speed Stor 

24 NEC DOS 8E Linux LVM F4 Speed Stor 

39 Plan9 93 Amoeba F2 DOS3. 3+ secondary 
3C Partition Magic 94 Amoeba BBT FD Linux raidauto 

40 Venix 80286 9F BSD/OS FE LAN step 

41 PPC PreP Boot A0 IBM Think padhi FF BBT 

42 SFS A5 Free BSD 


(5) [01C6 一 01C9] 表 示 该 分 区 相对 扇 区 ,对 于 主 逻辑 盘 分 区 表 和 扩展 分 区 表 是 指 相对 于 
主 引导 扇 区 ( 即 整 个 硬盘 0 号 扇 区 ) 的 扇 区 数 ; 对 于 D 盘 分 区 表 和 各 链接 项 表 是 指 相对 于 扩展 
分 区 的 开始 物理 地 址 的 扇 区 数 ， 对 于 各 逻辑 盘 分 区 表 是 指 相 对 于 该 逻辑 盘 链接 项 表 的 扇 区 
数 , 该 值 占 E 


(6) LO1CA 一 01CD] 表 示 该 分 区 的 实用 扇 区 数 , 即 该 分 区 总 扇 区 数 ， 
个 扇 区 等 于 512 字 节 ,那么 ,该 分 区 的 容量 王 该 分 区 的 实用 扇 区 数 X512 


4.2.3 MBR 分 区 表 管 理 方式 


< 
= 


值 占 4 字 节 ; 如 果 1 


节 。 


在 硬盘 0 号 扇 区 偏 移 0X01BE—0X01FD 处 最 多 只 能 存放 4 个 分 区 表 , 用 户 在 分 区 时 ,可 
以 根据 需要 建立 一 些 逻 辑 盘 。 注 : 各 逻辑 盘 的 大 小 由 用 户 在 建立 分 区 时 ,根据 需要 设 定 。 
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作者 根据 大 量 的 实验 发 现 : 在 MBR 分 区 形式 中 ,常见 的 分 区 形式 有 主人 逻辑 盘 分 区 ,主轴 
辑 盘 分 区 与 扩展 分 区 ,隐藏 分 区 、 主 逻辑 盘 分 区 与 扩展 分 区 。 


1. 主 逻辑 盘 分 区 


在 这 种 方式 下 ,在 硬盘 的 主 引导 扇 区 ( 即 0 磁头 0 柱 面 1 扇 区 ) 偏 移 地 址 0X01BE ~ 
0X01FD 处 最 多 可 以 存放 4 个 分 区 表 ; 假设 硬盘 在 
计算 机 管理 为 磁盘 0,0 号 扇 区 的 4 分 区 表 分 别 对 
应 C RAKD 盘 分 区 、E 盘 分 区 和 下 盘 分 区 ,其 分 
区 逻辑 结构 如 图 4. 11 所 示 。 采 用 这 种 分 区 管理 方 
式 通 常 是 安装 了 硬盘 还 原 卡 ; 计算 各 逻辑 盘 在 整 
个 硬盘 中 的 位 置 如 式 (4. 1) 一 式 (4.8) : 

C 盘 开始 扇 区 号 = C 盘 分 区 相对 扇 区 G. 1) 


主 引 导 遍 区 


4.11 主 逻辑 盘 分 区 结构 


C 盘 结 束 扇 区 号 = C 盘 开 始 扇 区 号 + C 盘 分 区 总 扇 区 数 一 1 G2) 
D 盘 开 始 扇 区 号 = C 盘 结 束 扇 区 号 十 1 = D 盘 分 区 表 相 对 扇 区 (4.3) 
D 盘 结 束 扇 区 号 = D 盘 开始 扇 区 号 + D 盘 分 区 总 扇 区 数 一 1 (4. 4) 
E 盘 开始 扇 区 号 = D 盘 结 束 扇 区 号 十 1 = 下 盘 分 区 相对 扇 区 (4.5) 
E ARAKS = E AF RAKI 十 下 盘 分 区 总 扇 区 数 一 1 (4.6) 
F 盘 开始 扇 区 号 = 下 盘 结 束 扇 区 号 十 1 = F # Yr CHI XII < (4.7) 
F 盘 结 束 扇 区 号 = F 盘 开 始 扇 区 号 十 F 盘 分 区 总 扇 区 数 一 1 (4.8) 


从 式 (4.1) 一 式 (4.8) 可 知 , 这 4 个 分 区 是 尾 首相 连 的 , 即 第 1 个 分 区 结束 后 的 下 一 个 扇 区 
是 第 2 个 分 区 的 开始 扇 区 ,以 此 类 推 。 

各 逻辑 盘 单 独 打开 后 ,其 开始 扇 区 号 均 为 0, 计 算 结束 扇 区 号 如 式 (4. 9): 

各 逻辑 盘 单 独 打开 后 结束 扇 区 号 = 各 逻辑 盘 分 区 总 扇 区 数 一 1 (4.9) 

例 4.4 某 硬盘 容量 为 299MB( 注 : 素材 文件 名 为 abcd42. vhd) ,被 划分 为 4 个 分 区 ,使 用 
WinHex 打开 该 物理 硬盘 。 

操作 方式 :“ 文 件 一 打开 ”一 “选择 abcd42. vhd 文件 ”,“ 专 家 一 映像 文件 为 磁盘 ”一 “选择 
整个 硬盘 的 0 号 扇 区 ”。 

整个 物理 硬盘 共有 614401 个 扇 区 , 扇 区 编号 为 0 一 614400, 分 区 类 型 为 MBR ,在 整个 硬 
盘 的 0 号 鹿 区 偏 移 0X01BE—0X01FD 处 共存 储 4 个 分 区 表 , 即 Partition1 一 Partition4 ,假设 4 
个 分 区 对 应 的 4 个 逻辑 盘 分 别 为 H 盘 .I 盘 .J 盘 和 开盘 ( 即 磁盘 0 时 的 C 盘 .D 盘 上 盘 和 F 
盘 ) ,文件 系统 均 为 FAT32, 如 图 4.12 所 示 。 请 回答 下 列 问题 : 


4 个 分 区 表 的 
存储 形式 


| 4 个 分 区 的 容量 
offset 0 1 4 个 分 
65 6D 00 00 00 63 7B SA 
03 00 OB ED 25 08 80 00 
26 08 OB 21 OE 13 80 30 
OF 13 OB C6 2C 1A 80 BO 
2D 1A OB FE 19 25 80 90 


00000180 
000001c0 
wa | 00000100 
000001E0 
314573312byles | 000001F0 
Bytes per sector: 512 | + 
Sector 0 of614401 


19 DA FE 4F 00 oof00 "š 
00 00 00 30 02 00 00 ED| . 


Undolevet 0 
Undo reverses: ma 


04 00 00 EO 01 00 00 c6| ... 


=32 Block mal Sbe: na 


图 4.12 某 硬盘 0 号 扇 区 的 4 个 分 区 
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(1) 将 硬盘 0 号 扇 区 4 个 分 区 表 的 存储 形式 分 别 填 人 到 表 4. 2 对 应 单元 格 中 。 
D 将 4 个 分 区 表 的 含义 分 别 填 人 到 表 4. 3 对 应 单元 格 中 。 
(3) 计算 4 个 逻辑 盘 在 整个 硬盘 中 的 扇 区 号 范围 。 
(4) 每 个 罗 辑 盘 单 独 打开 后 ,开始 扇 区 号 均 为 0, 计 算 每 个 逻辑 盘 单 独 打 开 后 的 结束 扇 


区 号 。 


(5) 画 出 4 个 逻辑 盘 在 整个 硬盘 中 的 分 布 结构 图 ,并 标明 4 个 逻辑 盘 单独 打开 后 的 开始 
扇 区 号 和 结束 扇 区 号 。 


解 : 


(1) 4 个 分 区 表 在 硬盘 0 号 扇 区 偏 移 和 存储 形式 见 表 4. 2 所 列 。 


表 4.2 整个 硬盘 0 号 扇 区 偏 移 0X01BE—0X01FD 处 4 个 分 区 表 ( 存 储 形式 ) 
分 区 


自 举 


对 应 分 区 扇 区 偏 移 开始 地 址 K 结束 地 址 相对 扇 区 总 扇 区 数 
标志 标志 
H 盘 分 区 01BE~01CD 00 02 03 00 0B ED2508 80000000 00300200 
I 盘 分 区 01CE—01DD 00 ED 26 08 0B 210E13 80300200 00800200 
丁 盘 分 区 01DE—01ED 00 21 OF 13 0B C62C1A 80B00400 00 E00100 
K 盘 分 区 01EE~01FD 00 C6 2D 1A 0B FE1925 80900600 00Co0200 
(2) 4 个 分 区 表 含义 见 表 4. 3 所 列 。 
表 4.3 HI\J 和 KK 盘 4 个 分 区 表 含义 
分 区 表 进 制 Jd es 2 s sQ 相对 扇 区 | 总 扇 区 数 
标志 | 磁头 | 扇 区 | 柱 面 | 标志 | 磁头 | OC | 柱 面 
ii 十 进 制 0 2 3 0 11 | 237 | 37 8 128 143360 
十 六 进 制 00 02 03 0 | 0B | ED | 25 08 80 23000 
I# 十 进 制 0 | 237 | 38 8 11 33 14 19 143488 163840 
十 六 进 制 00 ED | 26 | 08 | op | 2 | OE | 39 23080 28000 
十 进 制 0 33 15 19 11 | 198 | 44 26 307328 122880 
s 十 六 进 制 oO ar | OF loB | | TA 4B080 1E000 
K# 十 进 制 0 198 | 45 26 11 | 254 | 25 37 430208 180224 
十 六 进 制 000 Zes pumxns;rgr risus 69080 2C000 


G) MRA. D~. TA: 
H AF HRA K S= H 盘 分 区 相对 扇 区 一 128 
H ARAKS =H 盘 开始 扇 区 号 十 H 盘 分 区 总 扇 区 数 一 1 一 128 十 143360 一 1 一 143487 
所 以 ,H 盘 在 整个 硬盘 中 的 扇 区 号 范围 为 128 一 143487。 


同 理 ， 


可 以 计算 得 到 : 


I 盘 在 整个 硬盘 中 的 扇 区 号 范围 为 143488 一 307327; 丁 盘 在 整个 硬盘 中 的 扇 区 号 范围 为 
307328 一 430207; K 盘 在 整个 硬盘 中 的 扇 区 号 范围 为 430208 一 610431 。 
(4) 由 式 (4.9) 可 知 , 各 逻辑 盘 单独 打开 后 的 结束 扇 区 号 如 下 : 


H 逻辑 盘 结 束 扇 区 号 二 H 盘 分 区 总 扇 区 数 一 1 王 143360 一 1 一 143359 


同 理 , 可 以 计算 : 
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I 逻 辑 盘 结 束 扇 区 号 一 163839 
丁 逻 辑 盘 结束 扇 区 号 一 122879 
K 逻辑 盘 结束 扇 区 号 一 180223 
(5) 4 个 逻辑 盘 的 逻辑 结构 如 图 4. 11 所 示 ,在 整个 硬盘 中 的 分 布 情况 如 图 4. 13 所 示 。 


整个 硬盘 扇 区 号 “| 各 逻辑 盘 记 区 号 


H 盘 分 区 表 
] 盘 分 区 表 
J 盘 分 区 表 
K 盘 分 区 表 


1~127 


128~143487 0~143359 


(70MB) 


I 
GOM; 143488-307327 0-163839 


J 
(60MB) 


307328~430207 0~122879 


K 盘 | 
(88MB) 
末 分 区 的 
AK 


430208~610431 0~180223 


610432~610440 


4.13 H #k.1 #.J # Tl K 盘 在 整个 硬盘 中 分 布 示意 图 


例 4.5 对 于 I 盘 而 言 ,单独 打开 后 ,其 逻辑 扇 区 号 范围 为 0 一 163839; 而 在 整个 硬盘 中 的 
扇 区 号 范围 为 143488 一 307327 ,也 就 是 说 ,I 盘 在 整个 物理 硬盘 中 的 开始 鹿 区 号 为 143488 ,而 
对 于 I 盘 来 说 就 是 0 号 扇 区 。 

当 I 盘 的 0 号 扇 区 被 破坏 后 ,通过 WinHex 不 能 来 打开 工 盘 , 只 能 通过 WinHex 打开 整个 
物理 盘 , 通 过 工程 的 分 区 表 可 以 计算 出 工 盘 的 开始 扇 区 在 整个 物理 硬盘 中 的 位 置 ,然后 就 可 以 
恢复 [I 盘 的 0 号 扇 区 , 即 整个 物理 盘 的 143488 号 扇 区 。 使 用 计算 机 管理 中 的 磁盘 管理 功能 查 
看 磁盘 1 的 分 区 情况 如 图 4. 14 所 示 o 


sa |smem |%sm|= 
[750MB ”504MB 67% PZ 


[ IK 0) 09 
70 MB FAT32 — ||80 MB FAT32 60 MB FAT32 88 MB FAT32 
志良 好 广 分 区 ) | 状 志 良好 主 分 区 ) 。 | 杖 志良 好 ( 主 分 区 ) | 杖 赤 良 好 ( 生 分 区 ) 


LE FETE ESTE ES | 


图 4.14 使 用 计算 机 管理 查看 分 区 情况 


使 用 WinHex 模板 管理 器 的 Master Boot Record 查看 0 号 扇 区 结果 如 图 4. 15 所 示 。 

从 图 4.15 可 以 看 到 4 个 分 区 的 开始 地 址 ( 即 开始 磁头 、 扇 区 和 柱 面 ) ,分 区 标志 ,结束 地 址 
( 即 结束 磁头 、 扁 区 和 柱 面 ) ,相对 扇 区 和 总 扇 区 数 。 

HA: 该 模板 已 经 过 作者 汉化 ,第 1 个 分 区 表 为 H 盘 分 区 表 , 第 2 个 分 区 表 为 I 盘 分 区 
表 , 第 3 个 分 区 表 为 J 盘 分 区 表 , 第 4 个 分 区 表 为 K 盘 分 区 表 。 


@ 大 话 数据 恢复 
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4.15 使 用 WinHex 模板 管理 器 的 查看 分 区 表 


2. 逻辑 盘 分 区 与 扩展 分 区 


在 这 种 方式 下 ,在 硬盘 的 0 号 扇 区 偏 移 0X01BE~0X01FD 处 只 存放 两 个 分 区 表 , 即 C 盘 


分 区 表 和 扩展 分 区 表 , 在 扩展 分 区 中 再 建立 各 逻辑 盘 分 区 表 和 链接 项 。 


例 4.6 假设 某 硬盘 为 物理 磁盘 0, 用 户 在 硬盘 0 号 扇 区 建立 C 盘 分 区 表 和 扩展 分 区 表 ; 
在 扩展 分 区 中 再 建立 D 盘 分 区 表 和 下 盘 链 接 项 \E 盘 分 区 表 和 下 盘 链 接 项 上 盘 分 区 表 , 其 逮 


辑 结构 如 图 4.16 和 图 4.17 所 示 。 


扩展 分 区 起 始 扇 区 
Q 


主 引导 扇 区 


图 4.16 C 盘 分 区 和 扩展 分 区 结构 图 4.17 扩展 分 区 中 各 逻辑 盘 及 链接 项 管理 方式 


各 逻辑 盘 的 相对 扇 区 视 具体 硬盘 而 定 , 但 是 各 逻辑 盘 的 相对 扇 区 取 值 一 般 为 63 或 128, 


计算 扩展 分 区 相对 扇 区 和 各 逻辑 盘 链 接 项 相对 扇 区 如 式 (4. 10) 一 式 (4. 13): 
扩展 分 区 相对 扇 区 — C 盘 相对 扇 区 + C 盘 总 扇 区 数 
E 盘 链接 项 相对 扁 区 = D 盘 相对 扇 区 + D 盘 总 扇 区 数 
F 盘 链 接 项 相对 扇 区 = 下 盘 相对 扇 区 + E 盘 总 扇 区 数 + E 盘 链接 项 相对 扇 区 
G 盘 链接 项 相对 肩 区 = F 盘 相 对 扇 区 + F 盘 总 扇 区 数 + F 盘 链接 项 相对 扇 区 
以 此 类 推 。 


(4.10) 
(4.11) 
(4.12) 
(4.13) 


从 式 (4.11) 一 式 (4. 13) nÍ # , # 22 38 48 BE Be BJ $H XJ B P< Z 8 H XT T D Jë Zr P< JT t 383 


区 号 。 
计算 各 链接 项 分 区 的 总 扇 区 数 如 式 (4. 14) 一 式 (4. 16): 
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E 盘 链 接 项 总 扇 区 数 = E 盘 相 对 扇 区 十 EE 盘 总 肩 区 数 (4.14) 
F 盘 链 接 项 总 扇 区 数 — F 盘 相 对 扇 区 + F 盘 总 扇 区 数 (4.15) 
G 盘 链 接 项 总 扇 区 数 = G 盘 相 对 扇 区 十 G 盘 总 扇 区 数 (4.16) 
以 此 类 推 。 
计算 分 区 表 所 在 扇 区 号 如 式 (4. 17) 一 式 (4. 20): 
C 盘 分 区 表 和 扩展 分 区 表 所 在 扇 区 号 一 0 (4. 17) 
D 盘 分 区 表 和 下 盘 链 接 项 所 在 扇 区 号 — C 盘 相对 扇 区 + C 盘 总 扇 区 数 
一 扩展 分 区 相对 扇 区 (4.18) 
E 盘 分 区 表 和 下 盘 链接 项 所 在 扇 区 号 — D 盘 分 区 表 和 下 盘 链 接 项 所 在 扇 区 号 十 
D 盘 相对 扇 区 + D 盘 总 扇 区 数 (4.19) 
F 盘 分 区 表 和 G 盘 链 接 项 所 在 扇 区 号 — E 盘 分 区 表 和 下 盘 链接 项 所 在 扇 区 号 十 
王 盘 相对 扇 区 + E 盘 总 扇 区 数 (4. 20) 
以 此 类 推 。 


计算 各 人 逻辑 盘 、 扩 展 分 区 在 整个 硬盘 中 的 位 置 如 式 (4. 21) 一 式 (4. 30): 
C 盘 开 始 扇 区 号 = C 盘 分 区 表 所 在 扇 区 号 + C 盘 相对 扇 区 — C 盘 相对 扇 区 (4. 21) 
C 盘 结 束 扇 区 号 = C 盘 开始 扇 区 号 + C 盘 总 扇 区 数 一 1 (4. 22) 
扩展 分 区 开始 扇 区 号 = C 盘 相对 扇 区 + C 盘 总 扇 区 数 (4. 23) 
扩展 分 区 结束 扇 区 号 = 扩展 分 区 开始 扇 区 号 十 扩展 分 区 总 扇 区 数 一 1 (4.24) 
D 盘 开始 扇 区 号 = D 盘 分 区 表 所 在 扇 区 号 +D 盘 相 对 肩 区 
= C 盘 相 对 扇 区 + C 盘 总 扇 区 数 + D 盘 相对 扇 区 


= 扩展 分 区 相对 扇 区 + D 盘 相 对 扇 区 (4.25) 
D 盘 结 束 扇 区 号 = D 盘 开始 扇 区 号 + D 盘 总 扇 区 数 一 1 (4.26) 
E 盘 开始 扇 区 号 = E 盘 分 区 表 所 在 扇 区 号 + E 盘 相对 扇 区 (4.27) 
E 盘 结 束 扇 区 号 一 下 开始 扇 区 号 + E 盘 总 扇 区 数 一 1 (4. 28) 
F 盘 开始 扇 区 号 = F 盘 分 区 表 所 在 扇 区 号 + F 盘 相对 扇 区 (4.29) 
F 盘 结 束 扇 区 号 = F 开始 扇 区 号 + F 8k k C 1 (4.30) 


以 此 类 推 。 注 : C 盘 分 区 表 所 在 扇 区 号 为 0。 
计算 各 链接 项 在 整个 硬盘 中 的 位 置 如 式 (4. 31) 一 式 (4. 34): 


E 盘 链 接 项 开始 扇 区 号 = 扩展 分 区 开始 扇 区 号 + E 盘 链接 项 相对 扇 区 GL. 31) 
E 盘 链 接 项 结束 扇 区 号 — E 盘 链 接 项 开始 扇 区 号 十 EE 盘 链 接 项 总 扇 区 数 一 1 (4.32) 
F 盘 链 接 项 开始 扇 区 号 = 扩展 分 区 开始 扇 区 号 + F 盘 链 接 项 相对 扇 区 (4:383) 
F 盘 链 接 项 结束 扇 区 号 — F 盘 链接 项 开始 扇 区 号 + F 盘 链 接 项 总 扇 区 数 一 1 (4. 34) 
以 此 类 推 。 


例 4.7 某 硬盘 容量 为 299MB( 注 : 素材 文件 名 为 abcd43. vhd) ,使 用 WinHex 打开 该 物 
理 硬盘 ; 操作 方式 :“ 文 件 习 打开 ”一 “选择 abcd43. vhd 文件 ”,“ 专 家 一 映像 文件 为 磁盘 ”一 “ 选 
择 整个 硬盘 的 0 扇 区 ”, 如 图 4.18 所 示 。 

$: 该 硬盘 的 分 区 形式 为 在 整个 硬盘 的 0 号 扇 区 存储 着 C 盘 分 区 表 和 扩展 分 区 表 , 而 D 
盘 分 区 表 和 下 盘 链 接 项 \E 盘 分 区 表 和 下 盘 链接 项 F 盘 分 区 表 分 别 存储 在 扩展 分 区 的 3 4-1 
区 中 。 

从 图 4. 18 可 知 ,整个 硬盘 共有 614401 个 扇 区 ( 扇 区 编号 0 一 614400); C 盘 分 区 表 和 扩展 分 


& 大 话 数据 恢复 


区 表 , 详 见 表 4.4 所 列 ; 使 用 WinHex 模板 查看 C 盘 分 区 表 和 扩展 分 区 表情 况 , 如 图 4. 19 所 示 。 


区 表 所 在 扇 z F] 
00 00 63 7B 9A 23 DA FE 4F 


UnUUUTEU ES ED 0T oo oo 02| em. 
000001C0 [03 00 OB 34 2A DA 60 00 00 00 00 80 02 00 00 34]... 
000001D0 |28 OA OF DD 38 25 80 80 02 00 00 ce o6 oojoo o0 

oo0001E0 {00 00 00 OO 00 OO OO OO 00 OO OO OO OO OO 00 00 
000001F0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA 


Bytes per seor 512 


CE r: =o oct ma Ses ma 
图 4.18 整个 硬盘 0 号 肩 区 


表 4.4 整个 硬盘 0 号 扇 区 偏 移 0X01BE—0X01DD 处 分 区 表 ( 存 储 形式 ) 


分 区 表 自 举 标 志 开始 地 址 分 区 标志 结束 地 址 相对 扇 区 总 扇 区 数 
CH 00 02 03 00 0B 342A0A 80000000 0080 02 00 
扩展 00 34 2B 0A OF DD3825 80800200 00C80600 


CHAKA) 
Ds Nouss 


MEDERE) 


4.19 使 用 WinHex 模板 管理 器 查看 C 盘 分 区 表 和 扩展 分 区 表 


从 式 (4.18) 可 知 : 
D # rX & #l E 盘 链接 项 所 在 扇 区 号 =C 盘 相 对 扇 区 十 C 盘 总 扇 区 数 
一 128 十 163840 一 163968 


将 光标 移动 到 163968 号 扇 区 ,可 以 看 到 D 盘 分 区 表 和 下 盘 链 接 项 ,如 图 4. 20 所 示 。 


aa. S Tea Isa Iowa Ta TGS T DRAK RAIER RENNERS ] 2 
348544 


FAT32 。 600MB 
arition 4 FAT32 。 650MB 471552 | 
ors S40KE. o " 
Padlon gap 540KB 1 D 盘 分 区 表 和 E 盘 链接 项 
40KS 348416 
640KB 471424 
Offset [0 1 2 3 4 5 6 7 8 9 A B c /rE FR 


o| 050101B0 00 00 00 00 00 00 00 00 00 00 00 00 0goJoo 36 
Undo reverses: ma| 050101C0 |2D OA OB AF 1A 15 80 00 00 00 00 DO 02 00 00 AF 
050101D0 [1B 15 05 57 3A 1D 80 DO 02 00 80 EO 01 00 [00 00 


op ed 050101E0 00 00 00 00 00 00 00 OÜ 00 00 00 00 OO OO 00 OO . 
S73312byes | 050101F0 |00 00 00 00 00 00 00 00 00 00 00 00 00 00 SS AA ... 


1 Ofset 50101BE =01Block 1BE-1DD Size: 


图 4. 20 整个 硬盘 163968 号 扇 区 


D 盘 分 区 表 和 下 盘 链 接 项 , 详 见 表 4.5 所 列 ; 使 用 WinHex 模板 所 看 到 的 分 区 表 如 图 4. 21 
所 示 。 
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表 4.5 整个 硬盘 163968 号 扇 区 偏 移 0X01BE—0X01DD 处 分 区 表 ( 存 储 形式 ) 
分 区 表 自 举 标志 开始 地 址 分 区 标志 结束 地 址 相对 扇 区 总 扇 区 数 


D # 00 36 2D 0A 0B AF 1A 15 80 00 00 00 00 Do 02 00 
下 盘 链接 项 00 AF 1B 15 05 573A1D 80Do0200 80 E00100 


D 盘 分 区 表 
m Y asss 
TT 


图 4.21 使 用 WinHex 模板 管理 器 查看 D 盘 分 区 表 和 下 盘 链 接 项 


从 式 (4. 19) 可 知 : 
E 盘 分 区 表 和 下 盘 链 接 项 所 在 扇 区 号 — D 盘 分 区 表 和 下 盘 链 接 项 所 在 扇 区 号 十 
D 盘 相 对 扇 区 + D 盘 总 扇 区 数 
一 163968 十 128 十 184320 = 348416 
将 光标 移动 到 整个 硬盘 的 348416 号 扇 区 ,可 以 看 到 下 盘 分 区 表 和 下 盘 链 接 项 ,如 图 4. 22 所 
示 , 使 用 WinHex 模板 查看 到 的 分 区 表 , 如 图 4. 23 所 示 ; EE 盘 分 区 表 和 下 盘 链 接 项 见 表 4.6 所 列 。 


S Mes, 4 parttior 


时 E 盘 分 区 表 和 F 盘 链接 项 所 在 扇 区 号 


FAT32 600MB 
FAT32 。 650MB 
540KB 


E 盘 分 区 表 和 F 盘 链接 项 


Offset 
o| 05010180 
ma| 050101c0 
| 05010100 
300MB | 050101E0 [00 00 00 00 00 00 00 OO 00 00 00 00 OO 00 00 00 

| 050101F0 |00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA|.. 
| Offset 5010186 | =0] Block 1BE-1DD | Size: 


4.22 整个 硬盘 348416 号 扇 区 


图 4.23 使 用 WinHex 模板 管理 器 查看 上 E 盘 分 区 表 和 下 盘 链接 项 


表 4.6 整个 硬盘 348416 号 扇 区 偏 移 0X01BE—0X01DD 处 分 区 表 ( 存 储 形式 ) 


分 区 表 自 举 标志 开始 地 址 分 区 标志 结束 地 址 相对 扇 区 总 扇 区 数 
E # 00 Bl 1D 15 0B 573A1D 80000000 00 E0 0100 
F 盘 链接 项 00 57 3B 1D 05 A2 3D 25 00 B1 0400 80 08 02 00 
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从 式 (4. 20) 可 知 : 
F 盘 分 区 表 所 在 扇 区 号 =E 盘 分 区 表 和 下 盘 链 接 项 所 在 扇 区 号 十 
E 盘 相对 扇 区 + E 盘 总 扇 区 数 
一 348416 十 128 十 122880 一 471424 
将 光标 移动 到 整个 硬盘 471424 号 扇 区 ,可 以 看 到 下 盘 分 区 表 , 如 图 4. 24 所 示 ; 使 用 
WinHex 模板 查看 下 分 区 表 如 图 4. 25 所 示 ; F 盘 分 区 表 详 见 表 4.7 所 列 。 


Defaut Edt Mode 0E6301B0 00 00 00 00 00 00 00 00 
Stat emma 0E6301C0 [3D 1D 0B A2 3D 25 B0 00 

o| OE6301p0 (00 00 00 OO OO OO OO OO OO 00 OO OO 00 OO OO OO . 
0E6301E0 OD 00 00 00 00 00 00 00 00 00 00 00 00 00 00 OO . 
OE6301F0 |00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA 


Undo reverses: ma 


Tota capac: — _ 300 MB 


Sector 471424 9014401 _ Ofset E63016F 


= 0 Block 


C] 
° 
° 
° 
C] 
° 
° 
° 
° 
° 


图 4.25 使 用 WinHex 模板 管理 器 查看 F 盘 分 区 表 
表 4.7 整个 硬盘 471424 号 扇 区 偏 移 0X01BE—0X01CD 处 分 区 表 ( 存 储 形式 ) 


分 区 表 自 举 标志 开始 地 址 分 区 标志 结束 地 址 HXH 总 扇 区 数 
FA 00 59 3D 1D 0B A23D25 80000000 0008 02 00 


综合 表 4. 4 一 表 4.7, 各 分 区 表 、 扩 展 分 区 表 和 各 链接 项 在 整个 硬盘 中 的 存储 情况 见 表 4. 8 
所 列 。 


表 4.8 各 分 区 表 、 扩 展 分 区 表 和 各 链接 项 存储 位 置 情况 表 


ë mapas 扇 区 偏 移 MBR 分 区 类 型 分 区 表 详细 情况 
= caaza Minima 
esia 5 = RRAS 
aai a r RRAS Bl 
471424 0X01BE—0X01CD F #/ X # 见 表 4.7 所 列 
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从 式 (4.21) 一 式 (4. 30) 可 以 计算 出 C 盘 开 始 扇 区 号 和 结束 扇 区 号 .扩展 分 区 开始 扇 区 号 
和 结束 扇 区 号 D 盘 开 始 扁 区 号 和 结束 扇 区 号 、E 盘 开 始 扇 区 号 和 结束 扇 区 号 下 盘 开 始 扇 区 
号 和 结束 扇 区 号 。 
C 盘 开始 扇 区 号 = C 盘 分 区 表 所 在 扇 区 号 + C 盘 相对 扇 区 — C 盘 相对 扇 区 — 128 
C 盘 结 束 扇 区 号 = C 盘 开始 扇 区 号 + C 盘 总 扇 区 数 一 1 = 128 + 163840 — 1 = 163967 
扩展 分 区 开始 扇 区 号 = C 盘 开始 扇 区 号 + C 盘 总 扇 区 数 = 128 + 163840 = 163968 
扩展 分 区 结束 扇 区 号 = 扩展 分 区 开始 扇 区 号 十 扩展 分 区 总 扇 区 数 一 1 
= 163968 十 444416 一 1 = 608383 
D 盘 开始 扇 区 号 = D 盘 分 区 表 所 在 扇 区 号 + D 盘 相对 扇 区 
= C 盘 开始 扇 区 号 + C 盘 总 扇 区 数 + D 盘 相对 扇 区 
= 128 + 163840 + 128 = 164096 
D 盘 结 束 扇 区 号 = D 盘 开始 扇 区 号 + D 盘 总 扇 区 数 一 1 = 164096 + 184320 — 1 
一 348415 
E 盘 开始 扇 区 号 = E 盘 分 区 表 所 在 扇 区 号 + E 盘 相 对 扇 区 = 348416 + 128 = 348544 
E 盘 结束 扇 区 号 = E 盘 开 始 记 区 号 + E 盘 总 扇 区 数 一 1 = 348544 + 122880 — 1 = 471423 
F 盘 开 始 扇 区 号 = F #: yC K Br fE B KG + F 盘 相对 扇 区 = 471424 + 128 = 471552 
F 盘 结 束 扇 区 号 = F 盘 开 始 扇 区 号 + F 盘 总 扇 区 数 一 1 = 471552 + 133120 — 1 = 604671 
AR. 31) 一 式 (4. 34) 可 以 计算 出 E 盘 链接 项 开始 扇 区 号 和 结束 扇 区 号 下 盘 链接 项 开 
始 扇 区 号 和 结束 扇 区 号 。 
E 盘 链 接 项 开始 扇 区 号 = 扩展 分 区 开始 扇 区 号 + E 盘 链 接 项 相对 扇 区 
一 163968 十 184448 一 348416 
E 盘 链接 项 结束 扇 区 号 = E 盘 链接 项 开始 扇 区 号 + E 盘 链接 项 总 扇 区 数 一 1 
348416 + 123008 — 1 = 471423 
F 盘 链 接 项 开始 扇 区 号 = 扩展 分 区 开始 扇 区 号 + F 盘 链 接 项 相对 扇 区 
一 163968 十 307456 一 471424 
F 盘 链接 项 结束 扇 区 号 = F 盘 链 接 项 开始 扇 区 号 + F 盘 链接 项 总 扇 区 数 一 1 
= 471424 + 133248 — 1 = 604671 
综 上 所 述 , 各 逻辑 盘 、 扩 展 分 区 和 各 链接 项 在 整个 硬盘 分 布 情况 见 表 4. 9 所 列 。 


表 4.9 各 逻辑 盘 、 扩 展 分 区 和 各 链接 项 在 整个 硬盘 分 布 情况 表 


分 区 表 在 各 逻辑 盘 、 扩 展 开始 结束 ANKA 容量 
整个 硬盘 扇 区 号 分 区 和 链接 项 扇 区 号 扇 区 号 (单位 : MB) 
w CË 128 163967 163840 80 
扩展 分 区 163968 608383 444416 217 
ima D # 164096 348415 184320 90 
E 盘 链接 项 348416 471423 123008 60. 0625 
w E# 348544 471423 122880 60 
F 盘 链 接 项 471424 604671 133248 65. 0625 
471424 F # 471552 604671 133120 65 


根据 表 4.9 可 以 画 出 C 盘 分 区 扩展 分 区 、 各 逻辑 盘 分 区 以 及 各 逻辑 盘 链 接 项 结构 示意 
图 如 图 4. 26 所 示 , 从 图 4. 26 可 以 清楚 地 知道 C 盘 分 区 扩展 分 区 、 逻 辑 盘 分 区 以 及 逻辑 盘 链 
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接 项 在 整个 硬盘 中 的 位 置 和 相互 关系 ,以 及 各 逻辑 盘 的 开始 扇 区 、 结 束 扇 区 在 整个 硬盘 中 所 对 


应 的 扇 区 号 。 
整个 硬盘 扇 区 划分 情况 整个 硬盘 扇 区 号 各 逻辑 盘 扇 区 号 
o C 盘 分 区 表 
Er m 扩展 分 区 表 
TER 4E 
== F 1~127 
RXS TRM 
wE HWX] 128-163967 0-163839 
1 (80MB) 
1 | |! l D 盘 分 区 表 
要 四 163968 E 盘 链接 项 
Soa =E 
38 = AR 
8 gE | 163969~164095 
E| Bu “ë 
器 | 8g m“ DAM 
2| #r riba] 164096-348415 0-184319 
x SE (90MB) 
Š i I E 益 分 区 表 
Š = zx 348416 FASEREN 
E x EE 
= SE “sm 
= S ”| 348417-348543 
= FE 
t E 盘 所 
= H| 348544-471423 0-122879 
= 1 1 (60MB) 
m E E? 471424 F 盘 分 区 表 
Pie =| 471425-471551 
== 1 
= FRF 
占 导 区 | 471552-604671 0~133119 
1 (65MB) 
l 604672~608383 
未 分 区 的 扇 区 608384-614400 


图 4.26 CHDK Rr 1 2 38 # fE 3 4" BE # ZF Ah zF 38 Bl 


例 4.8 对 于 C 盘 而 言 ,其 逻辑 扇 区 编号 为 0 一 163839 ,而 在 整个 硬盘 的 扇 区 编号 为 128 一 
163967 ,也 就 是 说 ,C 盘 在 整个 硬盘 的 开始 扇 区 号 为 128 ,而 对 于 C 盘 来 说 就 是 0 号 扇 区 。 如 
果 C 盘 的 0 号 扇 区 被 破坏 ,通过 WinHex 选择 逻辑 盘 功 能 无 法 打开 C 盘 , 只 能 通过 WinHex 
选择 物理 盘 功 能 来 打开 整个 物理 盘 , 通 过 C 盘 分 区 表 计 算 C 盘 的 开始 扇 区 在 整个 物理 硬盘 中 
的 扇 区 号 ,然后 再 恢复 C 盘 的 0 号 扇 区 ( 即 整个 硬盘 的 128 号 扇 区 ) 。 

使 用 计算 机 管理 看 到 的 分 区 情况 如 图 4. 27 所 示 , 从 图 4. 27 只 能 看 到 一 个 硬盘 被 划分 为 
2 个 分 区 , 即 C 盘 分 区 和 扩展 分 区 ; 扩展 分 区 又 被 划分 为 3 个 分 区 , 即 D 盘 分 区 \E 盘 分 区 和 下 
盘 分 区 ,4 个 分 区 的 文件 系统 均 为 FAT32。 不 能 查看 到 各 逻辑 盘 . 扩 展 分 区 以 及 链接 项 的 分 
区 表 。 


3. 隐藏 分 区 、 主 逻辑 盘 分 区 和 扩展 分 区 
在 这 种 方式 下 ,在 整个 硬盘 的 0 号 扇 区 偏 移 0X01BE—0X01FD 处 建立 3 个 分 区 , 即 隐藏 
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中 的 远 辑 “| 做 盘 1 扩 展 分 区 中 的 3 个 多 得 盘 ， 
[| 1 盘 、J 盘 和 K 盘 ， 也 就 是 磁盘 0 时 的 
\D 盘 、E 盘 和 F 盘 


(H) 
80 MB FAT32 EY MB FAT32 Eg MB FAT32 Ée Me FAT32 
状态 良好 ( 主 分 区 ) 状 志良 好 (EED | 状态 良好 (ESET || 状态 良好 (EREI 


ia] ’ Bow g 主 分 区 E reor E Ro B seas — 


4.27 计算 机 管理 中 分 区 结构 图 


分 区 、C 盘 分 区 和 扩展 分 区 。 这 种 方式 通常 是 计算 机 厂商 主 引 导 扇 区 
将 系统 中 的 一 些 重要 数据 (如 : 驱动 程序 ) 存 放 在 隐藏 分 区 
中 。 其 分 区 管理 方式 如 图 4. 28 所 示 ,而 扩展 分 区 的 管理 
如 图 4. 17 所 示 。 注 ; 有 的 硬盘 可 能 会 有 2 个 隐藏 分 区 。 EZ = 
例 4.9 某 硬盘 容量 为 299MB( 注 : 素材 文件 名 为 
abcd44. vhd) ,使 用 WinHex 打开 该 物理 硬盘 。 4. 28 ”隐藏 分 区 .C 盘 分 区 和 
操作 方式 :“ 文 件 一 打开 ”一 “选择 abcd44. vhd 文件 ”， 扩展 分 区 结构 图 
“专家 一 映像 文件 为 磁盘 ?一 "选择 整个 硬盘 的 0 号 扇 区 ”， 
如 图 4. 29 所 示 。 
从 图 4.29 可 知 ,在 整个 硬盘 0 号 扇 区 偏 移 0XOLBE 一 0XO1ED 处 存放 3 个 分 区 表 , 如 
表 4.10 所 列 ,第 1 个 分 区 表 的 分 区 标志 为 0X1C, 即 该 分 区 为 隐藏 分 区 ,如 果 将 该 分 区 类 型 
“0X1C” 更 改 为 “0X0C” 并 存盘 。 重 新 附加 该 硬盘 后 ,在 资源 管理 器 中 可 以 看 到 该 分 区 对 应 的 
逻辑 盘 盘 符 。 


隐藏 分 区 的 开始 扇 区 号 


FE 


RA 


“将 该 值 改 为 -0C”， 重 新 附加 后 ， 2assa 
即 可 在 资源 管理 器 中 看 到 该 隐 <s 
藏 分 区 的 盘 符 612864 
Sm n JEER 5 A B C DEF 


6D 00 00 00 63 7B 9A 23 


Undo reverses: ma 000001Cc0 
000001D0 


2B OA OB 94 04 10 80 80 02 00 00 90 01 00 00 94|+. 


Totaicapaciy. 300M8 | 000001E0 |05 10 05 DD 38 25 80 10 04 00 00 38 05 00f00 00] .. 
314573312byes | oooooiFo |00 00 00 00 00 00 00 00 00 00 OO OO OO OO 55 AA .. 
=0) Block niaj See maj 


图 4.29 整个 硬盘 0 号 扇 区 的 3 个 分 区 表 


表 4.10 整个 硬盘 0 扇 区 偏 移 0X01BE—0X01ED 处 分 区 表 ( 存 储 形式 ) 

分 区 表 自 举 标志 开始 地 址 分 区 标志 结束 地 址 相对 扇 区 总 扇 区 数 
隐藏 00 02 03 00 1C 342A0A 80000000 00800200 
C # 00 34 2B 0A 0B 94 04 10 80 800200 0090 01 00 
扩展 00 94 05 10 05 DD 38 25 80100400 00380500 
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从 扩展 分 区 表 可 知 ,扩展 分 区 表 相对 扇 区 为 0X00041080( 即 266368). 


式 (4.18) 可 知 : 
D 盘 分 区 表 和 下 盘 链接 项 所 在 扇 区 号 = 扩展 分 区 表 相对 扇 区 
一 266368 
将 光标 移动 到 硬盘 的 266368 号 扇 区 ,在 该 扇 区 偏 移 0X01BE—0X01DD 处 可 以 看 到 D 盘 
的 分 区 表 和 下 盘 链 接 项 ,如 图 4.30 所 示 。 从 图 4. 30 可 知 , 在 整个 硬盘 266368 号 扇 区 偏 移 
0X01BE—0X01DD 处 存放 2 个 分 区 表 , 见 表 4. 11 所 列 。 


Partitioning style: MBR. w r Pas A partions. 
Name len sre Tomasa Tam Tamseaxd DERA) X RAIER BENEA 5 
F FAT32 500WB 163968 
parition 3 FAT32 700MB 266496 
FAT32 
D 盘 分 区 表 利 


HOT 409856 
41MB 604544 
612864 
EFELER 


| Unparitonea space 
| unpartnonavie space osue 


pa orginal | Offset 
082101B0 

UndoleveF ° 

anpati ma | 082101C0 
082101D0 


Total capaciy. 300MB | 082101E0 
314, 


8 9 A B C 


00 00 00 00 OO OO DO OO 0000000000000000 


4573312byes | 062101F0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA 
CERSer266368 ot 614401 > | Offset: 821014F | =0| Block ma| See: ma 


图 4.30 266368 号 扇 区 偏 移 0X01BE~0X01DD 处 存储 的 D 盘 分 区 表 和 E 盘 链 接 项 


表 4.11 整个 硬盘 266368 号 扇 区 偏 移 0X01BE—0X01DD 处 分 区 表 ( 存 储 形式 ) 


分 区 表 自 举 标 志 开始 地 址 分 区 标志 结束 地 址 相对 扇 区 总 扇 区 数 
82 29 19 80 00 00 00 00 30 02 00 
80 300200 80 F8 02 00 


D # 00 960710 0B 
E 盘 链 接 项 00 82 2A 19 05 A0 3B 25 


由 式 (4. 19) 可 知 : 
下 盘 分 区 表 所 在 扇 区 号 = D 盘 分 区 表 和 下 盘 链 接 项 扇 区 所 在 扇 区 号 十 


D 盘 相对 扇 区 + D 盘 总 扇 区 数 
一 266368 十 128 十 143360 
一 409856 
将 光标 移动 到 硬盘 的 409856 Z B X ,在 该 扇 区 偏 移 0X1BE—0X1CD 处 可 以 看 到 下 盘 的 
分 区 表 , 如 图 4.31 R. E 盘 分 区 表 见 表 4. 12 所 列 ,使 用 计算 机 管理 功能 查看 磁盘 1 的 分 区 


情况 如 图 4. 32 所 示 。 


E 盘 分 区 表 所 在 扇 


08MB 


了 Unparttionatie space 

State: | Offset |o 1234567 8 9 K B C DE 

at o| ocazolB0 DO oo oo oo oo oo oo oo oo oo OO oo oo oojoo 84 

Undo reverses: ma | 0ce201co [2C 19 OB A0 3B 25 80 00 00 00 00 F8 02 00)00 00 
00 00 00 00 00 00 00 OO 00 00 00 00 OO 00 00 00 


0C8201D0 
0c8201E0 DO 00 00 00 00 00 00 OO 00 00 00 00 00 00 00 00 


pacity 300M8 
314573312 bytes | 0C68201F0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA 


onset C8201AF| =0] Block 82101BE -8210100 , Sze: 
图 4.31 409856 ZH PC 8 0X01BE—0X01CD 处 存储 的 下 盘 分 区 表 


Total cap 
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表 4.12 整个 硬盘 409856 号 扇 区 偏 移 0X01BE—0X01CD 处 分 区 表 ( 存 储 形式 ) 
分 区 表 自 举 标志 开始 地 址 分 区 标志 结束 地 址 相对 扇 区 总 扇 区 数 
E# 00 84 2C 19 0B A0 3B 25 80 00 00 00 00 F8 02 00 


wo 
50 MB FAT32 


器 NIK 
2o MB 70 MB FAT32 95 MB FAT32 
| BSATEN RIRE) | sm 


Cd dd | 


—— 
Ul ES 8 +S 8 raz 8 sim>a E 


4. 32 使 用 计算 机 管理 查看 磁盘 1 的 分 区 情况 
4.3 硬盘 GPT 分 区 


4.3.1 硬盘 GPT 分 区 简介 


全 局 唯一 标识 分 区 表 (GUID Partition Table, 缩 写 为 GPT) 是 一 个 实体 磁盘 的 分 区 结构 
布局 标准 , 它 是 可 扩展 固件 接口 (CEFI) 标 准 的 一 部 分 ,用 来 蔡 代 MBR 分 区 。GPT 作为 MBR 
的 继任 者 ,解决 了 MBR 所 带 来 的 诸多 限制 ,如 : 在 MBR 分 区 中 总 扇 区 数 不 能 超过 4 294 967 295 。 
在 GPT 分 区 中 ,分 区 表 的 位 置信 息 储存 在 GPT 头 中 ,但 出 于 兼容 性 考虑 ,硬盘 0 号 扇 区 仍然 
HHE MBR 分 区 ,而 1 号 扇 区 则 用 来 存放 GPT 头 。 

对 于 每 个 扇 区 为 512 字 节 的 磁盘 而 言 ,MBR 分 区 不 支持 容量 大 于 2. 2TB 的 分 区 格式 。 
而 GPT 的 逻辑 块 使 用 了 64 位 的 LBA 寻 址 方式 ; GPT 分 区 支持 的 最 大 分 区 容量 为 9. 4ZB 
GE: 每 扇 区 仍然 为 512 字 节 )。 


4.3.2 在 GPT 磁盘 上 建立 分 区 


在 GPT 磁盘 上 可 以 创建 的 分 区 有 6 种 ,它们 分 别 是 : EFI 系统 分 区 、 微 软 保留 分 区 
(MSR) LDM 元 数据 分 区 、LDM 数据 分 区 OEM 分 区 和 主 分 区 。 

(1) EFI 系 统 分 区 : EFI 系统 分 区 内 包含 了 启动 操作 系统 所 需要 的 文件 ,该 分 区 对 应 的 文 
件 系统 一 般 为 FAT16 。 

(2) 微软 保留 分 区 : 每 个 GPT 磁盘 都 会 包含 有 一 个 微软 保留 分 区 。 

(3) LDM 元 数据 分 区 和 LDM 数据 分 区 : 将 基本 GPT 磁盘 转换 为 动态 GPT 磁盘 时 , 系 
统 会 创建 LDM 元 数据 分 区 与 LDM 数据 分 区 。LDM 元 数据 分 区 的 大 小 为 1MB, 主 要 用 于 存 
fä LDM 数据 库 。 而 LOM 数据 分 区 则 用 于 存储 转换 时 创建 的 动态 卷 ,LDM 数据 分 区 包含 了 
转换 后 磁盘 上 未 分 配 的 磁盘 空间 和 动态 卷 。 

(4) OEM 分 区 : OEM 分 区 是 系统 制造 商 创建 的 分 区 ,系统 制造 商会 将 附加 内 容 放 在 特定 的 
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OEM 分 区 中 。OEM 分 区 内 容 是 不 公开 的 ,如 果 用 户 删除 该 分 区 会 导致 操作 系统 无 法 运行 。 

(5) 主 分 区 : 主 分 区 是 GPT 磁盘 的 基本 数据 分 区 ,用 来 存放 用 户 的 数据 。 

GPT 磁盘 上 分 区 存放 的 顺序 一 般 为 EFI 分 区 (如 果 存 在 )、OEM 分 区 (如 果 有 )、MSR 分 
区 ,然后 才 是 其 他 主 分 区 。 下 面 以 实例 的 形式 介绍 创建 GPT 分 区 的 基本 过 程 。 

例 4.10 将 磁盘 1 转换 为 GPT 磁盘 ,在 磁盘 1 上 建立 4 个 分 区 ( 即 4 个 简单 卷 ) ,4 个 分 
区 的 容量 分 别 为 200MB、300MB、230MB 和 236MB( 注 : 磁盘 1 是 由 素材 文件 abcd45. vhd 使 
用 计算 机 管理 中 的 磁盘 管理 功能 附加 后 而 产生 的 虚拟 硬盘 ) 。 操 作 步 又 如 下 

(1) 在 Windows 7 操作 系统 下 ,将 光标 移动 到 桌面 上 的 “计算 机 ?图 标 处 , 右 击 , 从 弹出 的 
快捷 菜单 中 选择 “管理 ”功能 后 ,弹出 “计算 机 管理 ”窗口 。 

(2) 在 计算 机 管理 窗口 中 选择 “存储 一 磁盘 管理 ”。 

G) 选择 菜单 栏 上 的 “操作 (A) 一 附加 VHD”, 弹 出 “附加 虚拟 硬盘 ”窗口 ,在 “附加 虚拟 硬 
盘 ” 窗 口 单 击 “ 浏 览 (B)... ”按钮 ,在 弹出 的 “浏览 虚拟 硬盘 文件 ”窗口 中 选择 abcd45. vhd 文件 ， 
单 击 “ 打 开 (O)” 按 钮 , 单 击 “ 确 定 ” 按 钮 ,产生 磁盘 1。 

(4) 单 击 “ 磁 盘 管理 ”, 将 光标 移动 到 “磁盘 1” 处 , 右 击 ,从 弹出 的 快捷 菜单 中 选择 “转换 成 
GPT 磁盘 (V)”, 如 图 4. 33 所 示 ,将 MBR 磁盘 转换 为 GPT 磁盘 。 


图 4.33 将 磁盘 1 转换 成 GPT 磁盘 的 操作 


(5) 转换 后 的 磁盘 1 如 图 4. 34 所 示 , 从 图 4. 34 可 知 , 磁 盘 1 的 磁盘 空间 减少 了 31MB。 
将 光标 移动 到 *968MB 未 分 配 ” 处 , 右 击 ,从 弹出 的 快捷 菜单 中 选择 “新 建 简单 卷 (1)...”; 出 现 
“新 建 简单 卷 向 导 ” 第 1 个 窗口 , 单 击 “ 下 一 步 "按钮 ; 出 现 “ 新 建 简单 卷 向 导 ” 第 2 个 窗口 ,在 
“简单 卷 大 小 (MB)(S) :” 右 侧 的 列表 框 中 输入 “200”。 如 图 4. 35 所 示 , 单 击 “ 下 一 步 ”按钮 。 
Ë Hl 


XAD BFA SEV #mnO 
++ >J BE D fE 
> O it | e | 布局 | 类 型 | 文件 系统 | 状 杰 a | 可 用 空间 “| % 可 + | 操作 
> 国 事件 查看 器 SFr. 简单 基本 NTFS HSR. 7812. 4121GB 53% ~ 
> 国 共享 文件 夫 | 
> :ao |S ae: j w. 
> Ore |== | a 
josss 7 ge |268 me 
元 和 | = | 
Raer | | 
D BSASRRF |E +o H 主 分 区 H 扩展 分 区 H 可 用 空间 图 usss | 


图 4.34 磁盘 1 转换 为 GPT 磁盘 后 


(6) 出 现 “ 新 建 简单 卷 向 导 ” 第 3 个 窗口 ,选择 驱动 器 号 和 路 径 。 在 “分 配 以 下 驱动 器 号 (A):” 
右边 的 下 拉 式 列表 框 中 选择 驱动 器 号 ,本 例 中 选择 “H”, 如 图 4. 36 所 示 , 单 击 “ 下 一 步 ” 按 钮 。 
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分 本 本 动 下 号 和 路 径 
为 了 便于 访问 ， 可 以 给 碘 生 分 区 分 E 动 器 吕 或 驱动 器 路 径 。 


em TE u >J 


同 装 入 以 下 空白 mrs ZARR W 


图 4.35 指定 卷 的 大 小 图 4.36 选择 驱动 器 号 


(7) 出 现 “ 新 建 简单 卷 向 导 ” 第 4 个 窗口 ,格式 化 分 区 ; 这 里 选择 “不 要 格式 化 这 个 卷 (D)” 
选项 ; 如 图 4. 37 所 示 , 单 击 “下 一 步 ?按钮 。 

(8) 出 现 “ 新 建 简单 卷 向 导 ” 第 5 个 窗口 ; 在 该 窗口 中 可 以 看 到 该 卷 的 基本 情况 ,如 图 4. 38 
所 示 ; 单 击 “ 完 成 "按钮 。 


格式 化 分 区 
要 在 这 个 斋 盘 分 区 上 证 存 趣 据 ， 章 必须 先 符 其 格式 化 。 | 
ki 


eru ELJ 
Annee e 
Jemna a 


ti-su ( ma ) 


车 要 关闭 此 向 导 ， 请 单 击 “ 完 成 ”。 


CGD J (— ma) 


图 4.37 格式 化 分 区 图 4.38 简单 卷 建立 完成 


(9) 重复 第 5 步 至 第 8 步 ,共计 3 次 ,在 “简单 卷 大 小 (MB)(S):” 右 侧 的 列表 框 中 分 别 输 
入 “300”“230” 和 “236”; 驱动 器 号 分 别 选 择 “I”“J” 和 *K”; 在 出 现 “ 新 建 简单 卷 向 导 ” 第 5 个 窗 
O , 均 选 择 “ 不 要 格式 化 这 个 卷 (D) "选项 。 

(10) 分 区 建立 完成 后 ,可 以 在 磁盘 管理 中 看 到 4 个 逻辑 盘 , 文 件 系统 均 为 RAW。 

(11) 将 光标 移动 到 磁盘 1 的 “(H:)200MB RAW” 处 , 右 击 ,从 弹出 的 快捷 菜单 中 选择 “ 格 
式 化 (F)...”, 弹 出 “格式 化 ”窗口 ; 在 “格式 化 ”窗口 中 ,文件 系统 选择 “FAT32”, 单 击 “ 确 定 ” 按 
钮 ,完成 对 H 盘 的 格式 操作 。 

(12) 重复 步骤 11 共计 3 次, 分别 对 I 盘 、J AA K 盘 进 行 格式 化 操作 ,文件 系统 均 选 择 
“FAT32”。 

至 此 ,在 磁盘 1 WJ GPT 分 区 中 已 经 建立 了 4 个 逻辑 盘 , 如 图 4.39 所 示 。 


基本 | H) a 
968MB |200 MB FAT32 | 300 MB FAT32 


[EZA ESA B 扩 展 分 区 EES E 


0) K) 
230MB FAT32 ||236 MB FAT32 
状态 良好 ( 主 分 区 ) ii E) 


4.39 GPT 磁盘 中 的 4 个 逻辑 盘 


& 大 话 数据 恢复 


4.3.3 硬盘 GPT 分 区 的 整体 结构 


从 整体 来 看 ,GPT 磁盘 主要 由 6 大 部 分 组 成 , 即 保护 MBR、GPT 头 、.GPT 分 区 表 、GPT 
分 区 区 域 ( 即 文件 系统 所 在 区 域 )\GPT 分 区 表 备 份 和 GPT 头 备份 。 大 致 结构 如 图 4. 40 所 示 
GE: 假设 GPT 磁盘 的 扇 区 号 范围 为 0 一 * 一 1, 其 中 :7 为 GPT 磁盘 的 总 扇 区 数 ) 。 


保护 MBR 


GPT 头 | oranz 分 区 区 域 | GPT 分 区 表 备份 GPT 头 备份 


0 号 扇 区 


1 号 扇 区 | 2~33 号 扇 区 | 《34~(x-35) 号 扇 区 


1. 保护 MBR 


(mn-34)~(n-3) 号 扇 区 | 2 号 扇 区 


4.40 GPT 磁盘 的 整体 结构 图 


保护 MBR 位 于 GPT 磁盘 的 0 号 扇 区 ,也 是 由 主 引 导 记 录 磁盘 签名 .MBR 分 区 表 和 结束 标志 
4 个 部 分 组 成 。 在 MBR 分 区 表 中 ,分 区 标志 为 OXEE, 相 对 扇 区 为 1, 总 记 区 数 为 4 294 967 295, 
也 就 是 分 区 总 数 的 最 大 值 , 即 该 磁盘 也 被 GPT 分 区 占用 ,不 能 再 进行 MBR 分 区 。 


例 4.11 


在 例 4. 10 中 ,用 户 在 磁盘 1 上 新 建 了 4 个 简单 卷 ,0 号 扇 区 偏 移 0XOLBE 一 


0X01CD 处 存储 的 MBR 分 区 表 如 图 4. 41 所 示 ; 从 图 4. 41 可 知 ,MBR 分 区 标志 为 0XEE, 相 
对 扇 区 为 1, 而 总 扇 区 数 为 4 294 967 295( 即 OXFFFFFFFF ,存储 形式 为 "FF FF FF FF”), B 
磁盘 1 已 经 没有 剩余 空间 再 进行 MBR 分 区 。 


2 


Total capacity 
1 


048, 


GPT 头 


10 
576512 bytes 
512 


offset |o 1 2 3 4 5 6 7 8 9ApBC)DE rE 
000001A0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
000001B0 00 00 00 00 00 00 00 00 [F1 93 E9 78100 00100 00 
000001C0 [02 OO[|EE[FF FF 

000001D0 00 pz po 
o 

ol 


4.41 GPT 磁盘 0 号 扇 区 MBR 分 区 表 


GPT 头 位 于 GPT 磁盘 的 1 号 扇 区 ,该 扇 区 是 在 转换 成 GPT 磁盘 后 自动 生成 的 ,GPT 头 
定义 了 GPT 分 区 各 参数 的 基本 信息 , 详 见 表 4. 13 所 列 。 


表 4.13 GPT 头 各 参数 含义 表 


字 节 KE 字 节 ”长度 

AE (FW) m 偏 移 H NB: 

0X00 8 ”签名 ,固定 为 “EFI PART” 0X30 ”8 ”GPT 分 区 区 域 结束 扇 区 号 

0X08 4 ”版 本 号 0X38 ”16 ”硬盘 GUID 

0X0C 4 ”GPT 头 的 总 字 节 数 0X48 ”8 ”GPT 分 区 表 开 始 扇 区 号 ,一 般 为 2 
0X10 4 GPT š CRC32 校 验 和 0X50 4 ”最 多 容纳 分 区 表 的 数量 ,一 般 为 128 
0X14 4 保留 ,必须 是 00 0X54 4 每 个 分 区 表 项 字 节 数 ,一 般 为 128 
0X18 8 ”GPT 头 所 在 扇 区 号 0X58 4 ”分 区 表 CRC32 校 验 和 

0X20 8 GPT 头 备份 所 在 扇 区 号 0X5C 420 保留 ,一 般 为 00 

0X28 8 ”GPT 分 区 区 域 开 始 扇 区 号 
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例 4.12 磁盘 1 的 GPT 头 位 于 1 号 扇 区 ,如 图 4.42 所 示 , 使 用 WinHex 模板 查看 磁盘 1 
的 GPT 头 ,如 图 4.43 所 示 ,GPT 磁盘 1 的 整体 布局 大 致 如 图 4.44 所 示 。 


Parttioning style: GPT 5 mes, 4 partions 
Z Partition 2 FAT32 200MB 65664 - 
Offset 0 1 2 3 4 S 6 7 8 9 A B C D E F F | 7 - 
00000200 45 46 49 20 50 41 52 54 00 00 01 OD 5C 00 00 00 G 


00000210 AD FE BD 10 00 00 00 00 01 00 00 00 00 00 00 OO ' 
00000220 FF 3F 1F 00 00 00 00 00 22 00 00 00 00 00 00 00 
00000230 DE 3F 1F 00 00 00 00 OD BB E9 61 84 51 46 58 4E 
00000240 BD SE E4 AF DF 12 EA 55 02 00 00 OO OO OO OD OO (3. 
00000250 80 00 00 00 80 00 00 00 74 51 97 87 00 OO OO OO i... 

| omset 25F =0) Boce 


4.42 GPT 磁盘 1 号 扇 区 中 的 GPT 头 


EC 
Otsi Tite Value 
200 签名 EFIPART 
208 KES 00000100 
20c a Aya 92 
210 GPTACRCIRŠ JO E4467935 
24 保留 g 


GPTARAMEMES 2047999 


230 GPTHEEINARMES 2047966 

238 碰 盘 GUID 8BE9 6184514658 4E BD 5E E4AF DF 12 EA55 
248 GPT 分 区 表 开 始 请 区 号 2 

250 最 条 家 交 分 区 素数 重 128 

254 每 个 分 区 项 的 字 节 数 。 428 

258 GPT 分 区 表 CRC 校 验 和 。 D8 27 54 48 

25c f 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 
模板 制 作 Winie(=R 29) 


4.43 使 用 WinHex 查看 GPT 头 


GPT 分 区 表 | GPT 头 
GPT 分 区 表 分 区 区 域 备份 备份 


2047967~ | 2047999 
2047998 号 局 区 | 号 扇 区 


保护 MBR| GPT% 


OSAK | 1 号 扇 区 | 2~33 号 扇 区 


34-~2047966 号 扇 区 一 一 一 | 


4.44 GPT 磁盘 1 的 整体 布局 图 


3. GPT 分 区 表 


GPT 分 区 表 位 于 GPT 磁盘 的 2 一 33 号 扇 区 , 共 占 用 32 个 扇 区 ,每 个 分 区 表 占 用 128 F 
节 , 最 多 可 以 容纳 128 个 分 区 表 , 由 于 第 1 个 分 区 表 为 系统 保留 ,所 以 用 户 在 GPT 磁盘 上 最 多 
可 以 建立 127 个 分 区 ,每 个 分 区 表 管 理 一 个 分 区 。 分 区 表 各 项 参数 见 表 4. 14 所 示 ,GPT 分 区 
类 型 GUID 定义 说 明 见 表 4. 15 所 示 。 


表 4.14 GPT 分 区 表 各 项 参数 含义 表 


字 节 ”长度 字 节 ”长度 

RB GWD es RB GFW aa 
0X00 16 ”分 区 类 型 GUID, 说 明 见 表 4.15 所 列 | 0x28 8 该 分 区 结束 扇 区 号 
0X10 ”16 ”分 区 GUID 0x30 8 属性 标签 


0X20 8 ”该 分 区 开始 扇 区 号 0X38 72 分 区 名 (Unicode fB) 
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表 4.15 GPT 分 区 类 型 GUID 定义 说 明 


GUID 代码 (存储 形式 ) 分 区 类 型 公司 名 

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 未 分 配 的 分 区 

16 E3 C9 E3 5C 0B B8 4D 81 7D F9 2D Fo 02 15 AE 微软 保留 分 区 微软 公司 
A2 A0 DO EB E5 B9 33 44 87 C0 68 B6 B7 26 99 C7 主 分 区 微软 公司 
AA C8 08 58 8F 7E E0 42 85 D2 El E9 04 34 CF B3 LDM 元 数据 分 区 微软 公司 
A0 60 9B AF 31 14 62 4F BC 68 33 11 71 4A 69 AD LDM 数据 分 区 微软 公司 
28 73 2A C1 1F F8 D2 11 BA 4B 00 A0 C9 3E C9 3B EFI 系统 分 区 Intel 公司 
41 EE 4D 02 E7 33 D3 11 9D 69 00 08 C7 81 F3 9F 含 DOS 分 区 表 的 分 区 Intel 公司 


例 4.13 在 磁盘 1 的 2 号 扇 区 存储 了 4 个 分 区 表 ,3 号 扇 区 中 存储 了 1 个 分 区 表 ( 注 : 第 
1 个 分 区 为 系统 保留 ,第 2 一 5 个 分 区 为 用 户 建立 ); 这 5 个 GPT 分 区 表 如 图 4. 45 所 示 。 使 用 
WinHex 模板 可 以 清楚 地 查看 到 每 个 分 区 表 的 分 区 类 型 .分 区 GUID 开始 扇 区 号 和 结束 扇 区 
号 等 分 区 信息 ,如 图 4.46 所 示 。5 个 GPT 分 区 情况 见 表 4. 16 所 列 。 


Offset 01234567 89ABCDEF 

00000400 16 E3 C9 E3 5C OB B8 4D 81 7D F9 2D FO 02 15 AE. DJ$k. $. }??.? 
00000410 FA EF 4C AF 7E BE CD 46 80 11 04 B5 F3 7A 4D F6 $L FE.. 7 zM? 
00000420 {22 00 00 00 00 00 00 00) {21 00 01 00 00 00 00 00 “......!....... 


00000430 00 00 00 00 00 00 00 00 4D 00 69 00 63 00 72 00 P a PEPPI L G: p; 
00000440 _6F 00 73 00 6F 00 66 00 74 00 20 00 72 00 65 00 第 1 个 分 区 表 
00000450 73 00 65 00 72 00 76 00 65 00 64 00 20 00 70 00 s` (微软 保留 分 区 ) 
00000460 61 00 72 00 74 00 69 00 74 00 69 00 6F 00 6E 00  a.r\t. 

00000470 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................ 
00000480 A2 A0 DO EB E5 B9 33 44 87 C0 68 B6 B7 26 99 C7 JE 3D Wt h Hait 
00000490 2D 9F A6 46 B8 87 78 47 9B D6 A3 36 DE A4 53 59 -⁄4 F ú xG H22 SY 
00000440 

000004B0 00 00 00 00 00 00 00 00 42 00 61 00 73 00 69 00 

000004C0 63 00 20 00 64 00 61 00 74 00 61 00 20 00 70 00 

000004D0 61 00 72 00 74 00 69 00 74 00 69 00 6F 00 6E 00 

000004E0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 

000004F0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ` 
00000500 _A2 AO DO EB E5 B9 33 44 87 CO 68 B6 B7 26 99 C7 IA 3D jË h H 
00000510 97 BF 42 AE 06 4C C3 45 


00000520 


96 BB F8 76 62 88 F3 C1 fi B?L LEk b W? 
€ 2 


00000530 00 00 00 00 00 00 00 00 42 00 61 00 73 00 69 00 dubas 
00000540 63 00 20 00 64 00 61 00 74 00 61 00 20 00 70 00 

00000550 61 00 72 00 74 00 69 00 74 00 69 00 6F 00 6E 00 第 3 个 分 区 表 
00000560 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 

00000570 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Í 
00000580 A2 AO DO EB E5 B9 33 44 87 C0 68 B6 B7 26 99 C7 BAB 3D HR h 斗 & 
00000590 D3 EC 9B A7 93 B4 9C 43 BF 06 9A DC 5A 8C A6 08 15%? Z 对. 
000005A0 ËO Ao 10 00 00 000000) [F Do 17 00 00 00 0000 P 
000005B0 00 00 00 00 00 00 00 00 42 00 61 00 73 00 69 00 

000005C0 63 00 20 00 64 00 61 00 74 00 61 00 20 00 70 00 

000005D0 61 00 72 00 74 00 69 00 74 00 69 00 6F 00 6E 00 第 4 个 分 区 表 
000005E0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 N pm 


4.45 GPT 磁盘 的 5 个 分 区 表 


000005F0 
00000600 


00 00 00 00 00 00 00 00 
A2 A0 DO EB E5 B9 33 44 
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00 00 00 00 00 00 00 00 


87 CO 68 B6 B7 26 99 C7 


境 须 骞 3D j: h °L& š 


00000610 


CF 10 7D 97 8C EA 85 4C 


BF 7E 25 FE 74 74 91 01 


248E L 88%2° t? 


00000620 
00000630 


0 DO 17 00 00 00 00 O| 
00 00 00 00 00 00 00 00 


42 00 61 00 73 00 69 00 


€?. 


00000640 


63 00 20 00 64 00 61 00 


74 00 61 00 20 00 70 00 


00000650 


61 00 72 00 74 00 69 00 


74 00 69 00 6F 00 6E 00 


00000660 


00 00 00 00 00 00 00 00 


00 00 00 00 00 00 00 00 


00000670 


410 分 区 GUID EAEF4C, 


00 00 00 00 00 00 00 00 


图 4. 45 


420 HERMME 34 
423 Dü: 65569 


HRR 0 


438 分 区 名 


Microson reserved partition 


SGPT 分 区 表 2 


480 分 区 类 型 
490 分 区 GuID 


AM Same: 65664 
AAB SERBE 475263 
4B0 分 区 属性 0 


4B8 分 区 名 


Basic data partion 


GPT 分 区 部 3 


500 分 区 类 型 
510 分 区 GUID 


520 HELME 475264 


528 AEARME 1089663 
s% jeme 0 


538 分 区 名 


Basic data pariton 


AF TE BE CD 46 80 11 04 B5 F3 TA4D F6 


AZAD DO EB ES B9 33 44 87 CO 68 B6 B7 26 99 C7 
013E 9E C8 F0 64A3 4D 96 24 F5 70 98876571 


00 00 00 00 00 00 00 00 


( 续 ) 


| Otiset Tiie 
| SPT 分 区 夫 4 
580 分 区 类 型 


5A0 分 区 起 拍 了 区 1089664 

5A8 HEARE 1560703 

5B0 HEME 0 

588 分 区 名 Basic data partition 


GPTHERS 
600 JERN 
610 分 区 GUID BE 322E 6s 
620 HERHME 1560704 
628 EARME 2044031 
| 530 SEN 0 

638 分 区 名 


MM DO EB E5 B9 33 44 87 C0 68 B6 B7 26 99 C7 
27 38 29 85 FB B1 39 49 B7 90 3E 99 E8 76 1ADF 


Value 


Basic data partition 


4.46 使 用 WinHex 模板 查看 GPT 磁盘 的 分 区 表 


表 4.16 磁盘 1 中 5 个 GPT 分 区 情况 表 


AZA DO EB ES B9 33 44 87 C0 68 B6 B7 26 99 C7 
590 分 区 GUID — 3B 2E 3F FA7B D2 6F 4CAF 7D C9 57 BO EB 3F 26 


AZAD DO EB E5 B9 33 44 87 C0 68 B6 B7 26 99 C7 
BE 32 2E 89 8C 56 E7 4046 78 02 EF 97 71 D7 60 


分 区 分 区 类 型 开始 扇 区 号 结束 扇 区 号 总 扇 区 数 容量 (单位 : MB) 
Partition1 微软 保留 分 区 34 65569 65536 32 
Partition2 主 分 区 65664 475263 409600 200 
Partition3 主 分 区 475264 1089663 614400 300 
Partition4 主 分 区 1089664 1560703 471040 230 
Partition5 主 分 区 1560704 2044031 483328 236 

4. 分 区 区 域 


GPT 分 区 区 域 是 整个 GPT 磁盘 中 最 大 的 区 域 ,位 于 GPT 磁盘 的 中 间 位 置 ,GPT 分 区 区 
域 的 开始 扇 区 和 结束 扇 区 由 GPT 头 定义 ,一 般 情况 下 ,开始 扇 区 为 34 B < ,而 结束 扇 区 为 
GPT 磁盘 总 扇 区 数 减 去 35。 该 区 域 由 多 个 具体 的 分 区 组 成 ,如 : 微软 保留 分 区 、EFI 系统 分 
X LDM 元 数据 分 区 、LDM 数据 分 区 、OEM 分 区 和 主 分 区 等 。 各 分 区 的 开始 扇 区 和 结束 扇 
区 在 各 分 区 表 中 均 有 定义 。 


5. 分 区 表 备 份 


一 般 情况 下 ,分 区 表 备份 位 于 GPT 磁盘 的 倒数 33 号 扇 区 一 倒数 2 号 扇 区 ,也 是 占用 32 
个 扇 区 ,是 GPT 分 区 表 位 于 GPT 磁盘 的 2 一 33 号 扇 区 的 备份 。 
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6. 


GPT 头 备 份 


GPT 头 备 份 位 于 GPT 磁盘 的 倒数 1 号 扇 区 ,该 扇 区 也 是 在 转换 成 GPT 磁盘 后 自动 生成 
的 ,GPT 头 备份 也 是 定义 了 GPT 分 区 各 参数 的 基本 信息 ,但 该 扇 区 不 是 GPT 头 的 简单 备份 ， 
GPT 头 备份 对 GPT 分 区 各 参数 基本 信息 的 定义 与 GPT 头 对 GPT 分 区 各 参数 基本 信息 的 定 
义 稍 有 不 同 ,GPT 头 备份 对 分 区 各 参数 基本 信息 的 定义 详 见 表 4.17 所 列 。 


表 4.17 GPT 头 备份 各 参数 含义 表 


字 节 ”长度 字 节 ”长度 

Ë D BoR 偏 移 FWD Hoe 

0X00 ë 8 ”签名 ,固定 为 EFI PART” 0X30 ”8 ”GPT 分 区 区 域 结束 扇 区 号 

0X08 4 版 本 号 0X38 16 ”硬盘 GUID 

0OXOC 4 GPT 备份 总 字 节 数 0X48 8 ”GPT 分 区 表 备 份 开始 扇 区 号 

0X10 4 GPT 备份 CRC32 校 验 和 0X50 4 ， 最 多 容纳 分 区 表 的 数量 ,一般 为 128 
0X14 4 保留 ,必须 是 00 0X54 4 每 个 分 区 表 项 字 节 数 ,一 般 为 128 
0X18 8 ， GPT 头 备份 所 在 扇 区 号 0X58 4 分 区 表 备份 CRC32 校 验 和 

0X20 8 GPT3KBrfEM CE 0X5C 420 ”保留 ,一 般 为 00 

0X28 8 GPT HEP BMB CS 


J 4.14 磁盘 1 的 GPT 头 备份 位 于 磁盘 1 的 2047999 号 扇 区 ,如 图 4. 47 所 示 。 使 用 
WinHex 模板 查看 GPT 头 备 份 如 图 4. 48 所 示 ,可 以 看 到 GPT 头 备份 所 存储 的 有 些 参数 与 
GPT 头 所 存储 的 不 同 。 


Offset 0 1 2 3 45617 8 9ABCD E F 


= F 3E7FFE10 AS FA C6 7B 00 00 00 00 FF 3F 1F 00 00 00 00 00 
3E7FFE20 01 00 OO 00 00 000000 22 00 00 00 00 00 00 00 
benan Ma | 3E7FFE30 DE 3F 1F 00 00 00 00 00 8B E9 61 84 51 46 58 4E 
Tømcapao noca | 3E7FFE4O BD SE E4 AF DF 12 EA SS DF 3F 1F 00 000000 00 
To48576512bes | 3E7FFESO 80 00 00 00 80 00 00 00 D8 27 54 4B 00 00 00 00 1.. 
Sector 2047999 of 2048001 onset 20F =0; Block 


图 4.47 磁盘 1 的 GPT 头 备份 


例 4.15 在 磁盘 1 中 的 2 号 扇 区 中 存储 了 4 个 分 区 表 , 在 3 号 扇 区 存储 了 1 个 分 区 表 ; 
在 2047967 号 扇 区 中 存储 了 2 号 扇 区 中 的 4 个 分 区 表 的 备份 ,在 2047968 号 扇 区 中 存储 了 3 
号 扇 区 的 1 个 分 区 表 的 备份 。 使 用 WinHex 模板 查看 GPT 磁盘 如 图 4. 49 所 示 ; 而 整个 磁盘 
1 的 GPT 磁盘 的 整体 结构 如 图 4. 50 所 示 。 


3E7FFE30 GPTHERINERMES “2047966 
3E7FFE38 磁盘 GUID 88 E9 6184 51 46 58 4E B| 
2047967 


428 


3ETFFES4 每 人 分 区 表 的 字数 。 128 
3E7FFE58 GPTAEÆRHACROREK Da 27 5448 

3ETFFESC AS 00 0000 00 00 00 00 00 0 
Lu sasa 


T Unpartponatie space 39MB — 2040064 


图 4.48 使 用 WinHex 查看 磁盘 1 GPT 头 备份 图 4.49 GPT 各 分 区 情况 图 
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逻辑 盘 符 | 整个 硬盘 逻辑 扇 区 号 | 各 逻辑 盘 扇 区 号 用 途 
0 保护 MBR 
1 GPT 头 
第 1 个 分 区 表 m 
第 2 个 分 区 表 
2~33 第 3 个 分 区 表 
第 4 个 分 区 表 
第 5 个 分 区 表 | 
第 1 个 分 区 P 
34-65569 0-65535 (微软 保留 分 区 ) 上 
65570-65663 分 区 代沟 
HA 2 个 主人 区 | 
MBR (200MB)| 65664-475263 0-409599 第 2 个 主 分 区 |a 
分 GPT 
3 P 
区 区 evan 475264~1089663 0-614399 第 3 个 主 分 区 ”| 
域 区 
域 a 1089664~1560703 | 0-471039 第 4 个 主 分 区 [a 
Kt 2 个 主 分 区 
(236MB)| 1560704~2044031 | 0-483327 第 5 个 主 分 区 | 
2044032~2044799 分 区 代沟 
' 2044800-2047966 未 分 区 区 域 
第 1 个 分 区 表 备份 | TTT 
第 2 个 分 区 表 备份 一 二 
2047967~2047998 第 3 个 分 区 表 备 份 | 下 | 
第 4 个 分 区 表 备 份 
第 5 个 分 区 表 备份 | 
' 2047999 GPT 头 备份 


4.50 磁盘 1 中 存储 的 5 个 GPT 分 区 结构 图 


思考 题 


GE: 在 以 下 作业 题 中 ,1 个 扇 区 等 于 512 字 节 ) 

4.1 什么 是 硬盘 低级 格式 化 ? 硬盘 低级 格式 化 主要 对 硬盘 做 了 哪 几 项 工作 ? 

4.2 硬盘 分 区 有 何 作 用 ? 目前 硬盘 分 区 类 型 有 哪 几 种 ? 在 Windows 操作 系统 下 ,硬盘 
主要 分 区 类 型 有 哪 几 种 ? 你 使 用 的 U 盘 或 者 笔记 本 电脑 上 的 硬盘 分 区 属于 哪 种 类 型 ? 

4.3 什么 是 高 级 格式 化 ? 

4.4 一 般 情 况 下 ,硬盘 的 主 引导 扇 区 位 于 硬盘 什么 位 置 ? 它 由 哪 几 部 分 组 成 ? 在 学 习 本 
章 之 前 ,你 使 用 过 其 他 软件 查看 过 硬盘 的 主 引 导 扇 区 吗 ? 

4.5 建立 硬盘 主 引 导 扇 区 中 的 信息 有 哪 几 种 方式 ? 

4.6 硬盘 主 引 导 记 录 和 分 区 表 的 作用 分 别 是 什么 ? 

4.7 如 果 一 块 硬盘 作为 辅 盘 使 用 ,其 主 引 导 记 录 全 部 被 "00 填充, 分 区 表 和 有 效 标 志 完 
好 ,对 硬盘 的 正常 使 用 有 影响 吗 ? 

4.8 如 果 硬 盘 的 分 区 表 被 破坏 ,在 Windows 操作 系统 下 的 资源 管理 器 中 ,你 能 查看 到 该 
硬盘 所 产生 的 逻辑 盘 符 吗 ? 你 能 够 通过 正常 方式 读 取 存 储 在 该 硬盘 对 应 文件 系统 中 的 文件 或 
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文件 夹 吗 ? 
4.9 目前 ,硬盘 MBR 分 区 的 存储 方式 有 哪 两 种 ? 


4.10 在 CHS 存储 方式 下 ,分 区 表 是 如 何 定义 的 ? 某 硬盘 的 分 区 表 是 使 用 CHS 存储 方 
式 ,0 号 扇 区 偏 移 0X01BE—0X01CD 的 分 区 表 如 图 4.51 所 示 。 请 写 出 该 分 区 表 所 对 应 逻辑 
盘 的 开始 地 址 ( 即 开 始 磁 头 、 开 始 扇 区 和 开始 柱 面 ) ,结束 地 址 ( 即 结束 磁头 、 结 束 扇 区 和 结束 柱 


面 ) ,相对 扇 区 ,总 扇 区 数 ( 即 实 用 扇 区 数 ) 。 


01BE 


01CD 


[so [oi 0 


o0 | oB | Fe | F| 78 sr | oo | o0 [o| Fa] as] io 


00 


4.51 某 硬盘 0 号 扇 区 偏 移 0X01BE—0X01CD 的 分 区 表 


4. 11 
0X0B.0X1C.0X83 和 0XEE 分 别 代表 什么 意思 ? 
4.12 硬盘 常见 的 MBR 分 区 表 有 哪 几 种 形式 ? 


在 LBA 存储 方式 下 ,分 区 表 是 如 何 定义 的 ? 分 区 标志 0X07.0X05.0X0F.0X0C., 


4.13 某 U 盘 0 号 扇 区 偏 移 0X01BE—0X01FD 处 的 值 如 图 4. 52 所 示 , 请 回答 下 列 问题 : 


Offset | 01234567 0 


ABCD EF 
00000180 


00 00 00 00 00 00 00 00 77 AB 139c oo oofeo or we... 
000001C0 [01 00 oB OA se F9 se oc 00 00 A8 33 77 00jo0 00 


000001D0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
‘000001E0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 


000001F0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 SS AA 
Sector 0 ot 2097153 


4.52 某 口 盘 0 号 扇 区 偏 移 0X01BE—0X01FD 的 值 


A) 该 U 盘 搬 入 计算 机 USB 口 后 ,在 资源 管理 器 中 会 出 现 几 个 逻辑 盘 ? 为 什么 ? 
(2) U 盘 第 1 个 多 辑 盘 的 开始 扇 区 号 和 结束 扇 区 号 分 别 是 多 少 ? 它 的 DBR 位 于 该 U 盘 


ñ JU A X? 
O U 盘 第 1 个 逻辑 盘 是 什么 文件 系统 ? 


(4) U 盘 第 1 个 多 辑 盘 占 用 总 扇 区 数 是 多 少 (分 别 用 十 进 制 数 和 十 六 进 制 数 回答 )? 并 写 
出 小 头 位 序 的 存储 方式 。 如 果 使 用 大 头 位 序 存 储 方式 ,也 是 占 四 个 字 节 ,请 写 出 存储 形式 。 
(5) 第 1 个 逻辑 盘 的 容量 是 多 少 (单位 : 字 节 )? 该 容量 等 于 该 迎 辑 盘 高 级 格式 化 后 的 总 


容量 吗 ? 为 什么 ? 


4.14 某 硬盘 0 号 扇 区 偏 移 0X01BE—0X01FD 处 的 4 个 分 区 表 如 图 4. 53 所 示 ( 注 : 素 


材 文件 名 为 zy4_14. vhd) ,请 回答 下 列 问题 ; 


MB 
MB 
NB 
ve 


a dt OF 3 4 5 6 7 9 3510311213 3415[2] 


000001A0 67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74 8 ol 
Detaut Edit Mode 00000180 6S 6D 00 00 00 63 7B 9A 


Saia zaras | onset N Zo Bo na| Sha: 


图 4.53 某 硬盘 0 号 扇 区 最 后 96 字 节 


perating syst 
-.c{1we.1. H. 


77 AB 13 9C 00 00f00 02] em.. .c{t I 
State: originai | 00000lco [03 00 OB 80 27 19 60 00 00 00 OO 40 06 00 00 80| . a 
Undolevet o| ooooolno | 28 19 oB SF 26 39 80 40 06 oo 00 DO 07 00 00 SF i 
Undoreverses: ma| 000001E0 |27 39 OB 11 34 SD 80 10 OE 00 00 CO 08 OO OO 11) '9..4]1 a 
000001F0 |35 5D OB FE 3F 81 80 DO 16 00 00 20 09 00 [SS AA 5].b?.1B... 


3 les, 4 partito 


(1) 如 果 将 该 硬盘 通过 计算 机 管理 中 的 磁盘 管理 功能 附加 后 ,成 为 磁盘 1, 所 产生 的 4 个 


TR 


逻辑 盘 对 应 盘 符 分 别 是 H: .1:.J: 8 K: (B Partition1 一 Partition4 对 应 的 逻辑 盘 符 ) ,请 将 4 
区 表 在 整个 硬盘 0 号 扇 区 偏 移 、 分 区 标志 以 及 分 区 表 填 人 到 表 4. 18 对 应 单元 格 中 。 
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R418 某 硬盘 分 区 表情 况 表 (存储 形式 ) 


分 区 表 分 区 
对 应 的 逻辑 盘 扇 区 偏 移 标志 对 应 的 MBR 分 区 表 
H # ~ 
I 盘 as 
J # ~ 
K # < 


(2) 根据 4 个 分 区 表 的 分 区 标志 ,请 将 4 个 分 区 表 对 应 的 文件 系统 填 人 到 图 4. 53 中 
“Ext. ”对 应 下 夯 线 处 。 

(3) 由 于 4 个 分 区 表 均 存储 在 硬盘 的 0 号 扇 区 ,通过 4 个 分 区 表 中 的 相对 扇 区 计算 4 个 
逻辑 盘 的 开始 扇 区 号 ,将 结果 分 别 填 人 到 图 4. 53“1st sector” 对 应 下 夯 线 处 。 

(4) 通过 4 个 分 区 表 中 的 总 扇 区 数 , 请 计算 4 个 分 区 表 所 对 应 4 个 逻辑 盘 的 容量 ,并 将 结 
果 填 人 到 图 4. 53 中 “Size” 对 应 下 面 线 处 。4 个 逻辑 盘 的 容量 是 用 户 依次 建立 4 个 分 区 时 输入 
的 容量 吗 ? 

(5) 通过 这 4 个 分 区 表 , 请 计算 每 个 分 区 表 所 对 应 逻辑 盘 在 整个 硬盘 中 的 开始 扇 区 号 、 结 
东 扇 区 号 和 总 扇 区 数 ,并 将 计算 结果 填 人 到 表 4. 19 对 应 单元 格 中 。 

R419 某 硬盘 分 区 表情 况 表 


对 应 逻辑 盘 开始 扇 区 号 结束 扇 区 号 总 扇 区 数 
H# 
I # 
J# 
K# 


(6) 如 果 分 别 单独 打开 4 个 多 辑 盘 ,它们 的 开始 扇 区 号 均 为 0, 请 计算 分 别 单独 打开 4 个 
逻辑 盘 后 的 结束 扇 区 号 ,将 结果 填 人 到 表 4. 20 对 应 单元 格 中 ; 同时 也 分 别 将 各 逻辑 盘 的 总 遍 
区 数 和 容量 填 人 到 表 4. 20 相应 单元 格 中 。 


表 4.20 4 个 逻辑 盘 单独 打开 后 的 开始 扇 区 号 、 结 束 扇 区 号 和 容量 


对 应 逻辑 盘 开始 扇 区 号 结束 扇 区 号 总 扇 区 数 容量 (单位 : MB) 
H 盘 0 
I 盘 0 
J # 0 
K 盘 0 


(7) 4 个 分 区 表 对 应 4 个 逻辑 盘 在 整个 硬盘 中 的 分 布 情况 如 图 4. 54 所 示 , 请 分 别 将 4 个 
分 区 表 对 应 4 个 逻辑 盘 的 开始 扇 区 号 和 结束 扇 区 号 填 人 到 图 4. 54 对 应 下 画 线 处 。 

(8) 各 逻辑 盘 单独 打开 后 ,其 开始 扇 区 号 均 为 0, 将 各 逻辑 盘 单 独 打开 后 的 结束 扇 区 号 填 
和 人 到 图 4. 54 对 应 下 夯 线 处 ; 将 各 逻辑 盘 容 量 填 人 到 图 4. 54 盘 符 下 画 线 处 。 

(9) 使 用 WinHex 模板 管理 器 中 的 Master Boot Record 功能 查看 该 硬盘 的 4 个 分 区 表 ， 
如 图 4.55 所 示 ; 请 将 4 个 分 区 表 中 的 相对 扇 区 和 总 扇 区 数 分 别 填 和 人 到 图 4. 55 中 的 相应 位 置 
(十 进 制 ) 。 
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整个 硬盘 扇 区 号 | 各 逻辑 盘 扇 区 号 


H 盘 分 区 表 
I 盘 分 区 表 
J 盘 分 区 表 
K 盘 分 区 表 


Value 
33c08ED0 
4FFEDA19 


gjs g aje “ls 


图 4.55 使 用 WinHex 查看 4 个 分 区 表情 况 


4.15 某 硬盘 通过 计算 机 管理 中 的 磁盘 管理 功能 附加 为 磁盘 0, 其 0 号 扇 区 最 后 80 字 节 
如 图 4. 56 所 示 ,D ADARA E 盘 链 接 项 所 在 扇 区 最 后 80 字 节 如 图 4. 57 所 示 ,E 盘 分 区 表 
和 下 盘 链接 项 所 在 扇 区 最 后 80 字 节 如 图 4. 58 所 示 ,F 盘 分 区 表 所 在 扇 区 最 后 80 字 节 如 图 4. 59 
所 示 ( 注 : 素材 文件 名 为 zy4_15. vhd) 。 


6 fles.4 pario 


| Offset |o 1 2 3 4 5 6 7 8 9101112131415 
0000000432 65 6D 00 00 00 63 7B 9A 77 AB 13 9¢ 00 00f00 02 
DefauEdtMode | 0000000446[03 00 DB F3 1D 16 60 00 00 00 00 AO 05 00 00 F3 
State: originai | 0000000464| 1E 16 OF FE 3F 81 80 AO 05 00 00 48 1A 0000 00 
ngolevet o | 000000048000 DO 00 00 OO 00 00 00 00 00 OO OO OO OO 00 00 
Undo reverses: ma | 0000000496 00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA 


Sector 0 of 2097153 Ofset 445 =0) Block ma | Size- 


图 4.56 某 硬盘 0 号 扇 区 最 后 80 字 节 


em...c(Iw<.1..l 
ó.. 
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5 fles, 4 partition 


u w = Tsze — [creaea [am  [istseaor- 


Offset 01234567 8 9101112131415 7 
chapler4_1w 
= = 0B4101B0 00 00 00 00 00 00 00 00 00 00 00 00 00 00[oo Fs |E.... 
DefaultEditMode | 0B4101C0 [20 16 OB 1B 23 38 60 00 00 00 00 20 08 OO 00 1B) . 
State: original | 0B4101D0 |24 38 05 5B 3D 5E 80 20 08 00 80 60 09 00f00 00 $8 


Undolevet o| 0B4101E0 ‘00 00 OO 00 00 OO OO DO DD 00 DO DD 00 OO 00 OO .. 
Undoreverses: Ma | 0B4101FO 00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA .. 1 
Sector, of2097153 iomset 188809648 =0 Block na| Size " 


图 4.57 D 盘 分 区 表 和 下 盘 链接 项 所 在 扇 区 号 最 后 80 字 节 


Partitioning style MBR 6 fles, 4 partition 
= [en [sze — [crea — Jam  [istseaor- ] 


Offset 01234567 8 91011121314157 
Achaplert_1w 
z = 1B8201B0 00 00 00 00 00 00 00 00 00 00 00 00 00 oojoo 1D |Ë. 
DefautEdtMode | 188201C0 [26 38 OB SB 3D SE 80 00 00 OO 00 60 09 OO 00 5B) . 
State: original | 188201D0 |3E 5E 05 EE 2D 81 00 81 11 00 80 B8 08 00 [DO 00 $8. [=^ 


Undolevet o| 1B8201E0 00 OO 00 OO 00 OO 00 OO DOO OO OO OO OO OO 00 OO .. dd 
Undo reverses: ma | 1B6201F0 00 00 00 00 00 00 00 00 00 00 00 00 00 OO SS AA .............. t 
Sector, 012097153 (Ofset 188809548 | =0 | Block Ma| Size: " 


4.58 下 盘 分 区 表 和 下 盘 链 接 项 所 在 扇 区 号 最 后 80 字 节 


[Name [En [sze — cras Taw  [isseaoe = Í 
9 2 F; 
IDAchaptert_1w Offset 0 £ 2 34 5 6 7 8 910 11 12 13 14 15 


2E4301BO 00 00 00 00 00 00 00 00 00 00 00 00 00 00joo SE |. 
DefautEdtMode | 2E4301C0 [O1 SE OB EE 2D 81 60 00 00 00 00 B8 08 OO 00 00) . 
State: original | 2E4301D0 (00 00 00 00 00 00 00 00 00 00 00 00 00 00 foo 00 $8 


2E4301E0 |00 00 00 00 00 00 00 00 00 00 00 00 00 OO 00 OO .. 


jema MBR 


2E4301F0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA .. + 
Sector, of2097153 | Offset 188809648 | =0| Block ma | Size- w 


4.59 下 盘 分 区 表 所 在 扇 区 号 最 后 80 字 节 


请 回答 下 列 问 题 : 

A) C 盘 分 区 表 和 扩展 分 区 表 存储 在 整个 硬盘 的 0 号 扇 区 ,请 将 D 盘 分 区 表 和 下 盘 链 接 
项 \E 盘 分 区 表 和 下 盘 链 接 项 \F 盘 分 区 表 在 整个 硬盘 的 扇 区 号 填 人 到 表 4. 21 对 应 单元 格 中 。 

(2) 请 将 C 盘 分 区 表 、 扩 展 分 区 表 、D 盘 分 区 表 、E 盘 链 接 项 上 盘 分 区 表 F 盘 链 接 项 和 下 
盘 分 区 表 扇 区 偏 移 填 人 到 表 4. 21 对 应 单元 格 中 。 


表 4.21 某 硬盘 分 区 表情 况 表 (存储 形式 ) 


分 区 表 — DERE 对 应 的 MBR 分 区 表 
C 盘 分 区 表 ~ 
扩展 分 区 表 ~ 
D 盘 分 区 表 s 
E # £ Bei 
ERDEKE = 
F 盘 链接 项 < 
F 盘 分 区 表 < 


(3) 请 将 C 盘 分 区 表 、 扩 展 分 区 表 、D 盘 分 区 表 、E 盘 链 接 项 \E 盘 分 区 表 、F 盘 链 接 项 和 下 
盘 分 区 表 填 人 到 表 4.21 对 应 单元 格 中 。 

(4) C 盘 分 区 表 和 扩展 分 区 表 存 储 在 整个 硬盘 的 0 号 扇 区 ; 请 将 D 盘 分 区 表 和 下 盘 链 接 
M ERDARA F 盘 链接 项 下 盘 分 区 表 所 在 扇 区 号 分 别 填 人 到 图 4. 57、 图 4. 58 和 图 4. 59 


& 大 话 数据 恢复 


左下 角 的 “Sector of 2097153” 下 夯 线 处 。 
(5) 将 4 个 逻辑 盘 的 总 扇 区 数 填 人 到 表 4. 22 对 应 单元 格 中 ,计算 4 个 逻辑 盘 的 容量 ,并 
将 结果 填 人 到 表 4. 22 对 应 单元 格 中 。 
表 4.22 4 个 逻辑 盘 在 整个 硬盘 中 的 开始 扇 区 号 .结束 扇 区 号 和 容量 

逻辑 盘 FRAKSI 结束 扇 区 号 AAKA 容量 (单位 : MB) 

C 盘 

D# 

E# 

F # 


(6) 计算 4 个 逻辑 盘 在 整个 硬盘 中 的 开始 扇 区 号 和 结束 扇 区 号 ; 并 将 结果 分 别 填 人 到 
K 4.22 对 应 单元 格 中 。 

(7) 每 个 逻辑 盘 单 独 打 开 后 ,开始 扇 区 号 为 0; 请 计算 分 别 单独 打开 4 个 逻辑 盘 后 的 结束 
扇 区 号 ,并 将 结果 填 入 到 表 4. 23 对 应 单元 格 中 ; 计算 各 逻辑 盘 的 总 扇 区 数 和 容量 ,将 结果 分 
别 填 人 到 表 4. 23 对 应 单元 格 中 。 


表 4.23 4 个 逻辑 盘 单独 打开 后 的 开始 扇 区 号 ,结束 扇 区 号 和 容量 


逻辑 盘 开始 扇 区 号 结束 扇 区 号 总 扇 区 数 容量 (单位 : MB) 
C # 0 
DË 0 
E # 0 
F # 0 


(8) 在 图 4.56 中 ,请 将 Partition1 一 Partition4 以 及 Partition gap1 一 Partition gap3 的 开 
始 扇 区 号 填 人 到 "1st sector” FAIX F IRAk 

(9) 请 根据 C 盘 、D 盘 \E 盘 和 下 盘 分 区 表 的 标志 ,将 4 个 分 区 表 标 志 所 表示 的 文件 系统 
填 人 到 图 4.56 中 “Ext. ”对 应 下 面 线 处 。 
(10) 请 将 C 盘 .D 盘 \E 盘 和 下 盘 的 容量 填 和 人 到 图 4.56 中 “Size” 对 应 下 面 线 处 。 
(11) 磁盘 0 的 布局 大 致 如 图 4. 60 所 示 ,请 将 4 个 逻辑 盘 在 整个 硬盘 中 的 开始 扇 区 号 、 结 
东 扇 区 号 各 分 区 表 及 链接 项 所 在 扇 区 号 等 填 人 到 图 4. 60 对 应 下 画 线 处 。 
(12) 分 别 单独 打开 4 个 逻辑 盘 , 它 们 的 开始 扇 区 号 均 为 0, 请 将 4 个 逻辑 盘 单 独 打开 后 的 
结束 扇 区 号 填 人 到 图 4. 60 对 应 下 面 线 处 。 
(13) 请 将 C 盘 .D 盘 \.E 盘 \F 盘 和 扩展 分 区 的 容量 填 和 到 图 4. 60 中 对 应 下 夯 线 处 。 
(14) 请 将 扩展 分 区 相对 扇 区 的 结束 扇 区 号 .扩展 分 区 开始 扇 区 号 和 结束 扇 区 号 填 人 到 
图 4. 60 中 对 应 下 画 线 处 。 

4.16 某 硬盘 0 号 扇 区 偏 移 0X01BE—0X01FD 处 的 4 个 分 区 表 如 图 4.61 所 示 ( 注 : K 
材 文件 名 为 zy4_16. vhd) ,请 回答 下 列 问题 : 

(1) 请 将 该 硬盘 4 个 分 区 表 的 扇 区 偏 移 、 分 区 标志 和 分 区 表 填 人 到 表 4. 24 对 应 单元 
格 中 。 
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整个 硬盘 扇 区 划分 情况 整个 硬盘 逻辑 扇 区 号 | 各 逻辑 盘 扇 区 号 
bq T pq ð C 盘 分 区 表 
E š 扩展 分 区 表 

= 1~127 
W | m 
K| & 0 
= Ë m : 
= 1™ 

PE EP DRIKK 

E == E 盘 链接 项 
~ R iE 
A = AR 3 
2 = Š I C 

| a š 
x| k| # | DRM o 
El = a| B< = a 

|| S| MD] 

H| Æ mÍ n EC 
最 让 š q F 盘 链接 项 

| z 
x E = 一 一 
E 0 
bq Ez] a a 
E 1 œ 
4 
= F 盘 分 区 表 
£| SE 
EÈ | patni 
| HS 0 

1 人 

未 分 区 的 扇 区 


4.60 磁盘 0 布局 图 


| Offset |01234567 89ABCDEF 
000001A0 |67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74 g operating 


Detault Edit Mode 00000180 |65 6D 00 一 00 63 7B 9A 77 AB 13 9C 00 00[00 02] em...c{iw«.1..E 
State: originai | 000001c0 —P— 
Undo levet: o| 00000100 ac 17 35 80 00 05 00 00 20 08 00|00 sc 

000001F0 [26 sə[ic|FE 3F a180 EO 15 00 00 10 0A 00|55 AA &Y.b?. N 


Sector 0 of 2097153 Ofset BE =0 Block BE - 19E Sze: 1 


图 4.61 磁盘 1 的 0 号 扇 区 最 后 96 字 节 


表 4.24 某 硬盘 分 区 表情 况 表 (存储 形式 ) 


分 区 表 扇 区 偏 移 ae 对 应 的 MBR 分 区 表 
第 1 个 一 
第 2 个 = 
第 3 个 = 
第 4 个 = 


全 大 话 数据 恢复 


(2) 将 这 4 个 分 区 表 对 应 逻辑 盘 开 始 扇 区 号 填 人 到 图 4. 61“1st sector” 下 对 应 下 面 线 处 。 
(3) 通过 这 4 个 分 区 表 , 请 计算 出 4 个 分 区 表 在 整个 硬盘 的 开始 扇 区 号 、 结 束 扇 区 号 .总 
扇 区 数 和 容量 ,将 结果 分 别 填 人 到 表 4. 25 对 应 单元 格 中 。 


R425 某 硬盘 各 分 区 开始 扇 区 号 结束 扇 区 号 和 容量 


分 区 表 


开始 扇 区 号 


结束 扇 区 号 


总 扇 区 数 


容量 (单位 : MB) 


第 1 个 
第 2 个 
第 3 个 


第 4 个 


(4) 假设 用 户 的 计算 机 上 安装 了 两 个 硬盘 , 即 磁盘 0 和 磁盘 1, 磁 盘 0 被 用 户 划 分 为 5 个 
逻辑 盘 , 所 对 应 的 盘 符 分 别 为 C:`.D:、E: Fi R G ,而 该 硬盘 通过 计算 机 管理 中 的 磁盘 管理 附 


加 成 磁盘 1 后 ,在 资源 管理 器 中 能 看 到 几 个 盘 符 ? 盘 符 分 别 是 什么 ? 


(5) 有 几 个 分 区 表 所 对 应 的 逻辑 盘 符 在 资源 管理 器 中 无 法 看 到 ,其 分 区 表 标 志 值 是 什么 ? 
将 该 值 更 改 为 何 值 后 ,再 通过 计算 机 管理 中 的 磁盘 管理 功能 附加 成 磁盘 1 后 ,就 可 以 在 资源 管 


理 器 中 查看 到 盘 符 ? 


4.17 某 硬盘 被 转换 成 GPT 磁盘 ,1 号 扇 区 前 96 字 节 如 图 4.62 所 示 ; 使 用 WinHex 模 
板 管理 器 中 的 GPT Head 功能 查看 该 硬盘 的 GPT 头 , 如 图 4.63 所 示 ( 注 : 素材 文件 名 为 zy4_ 


17.vhd); 请 回答 下 列 问 题 : 


Ales, 4pario 


Parttoning style: GPT 
Z Parinon 2 FAT32 
[Dvadedtsiavedts | Offset 
00000200 
00000210 
00000220 
00000230 
00000240 
= É 00000250 
Sector 1 of 2097153 


190MB 55664 
01234567 89AB CD 
45 46 49 20 SD 41 52 54 
C4 AF A4 F2 00 00 00 00 
FF FF 1F 00 00 00 00 00 
DE FF 1F 00 00 00 00 00 


图 4.62 某 硬盘 1 号 扇 区 前 96 字 节 
(1) 根据 图 4. 62, 请 将 签名 .GPT 头 总 字 节 数 .GPT 头 所 在 扇 区 号 


号 等 值 分 别 填 人 到 图 4. 63 中 下 画 线 相应 位 置 处 。 


FB03EC C8 u 本 
0000000000000000000000000000000000 


r EAJ 
OO OO 01 00 SC 00 OO 00 EFI PART 
01 00 00 00 00 00 00 00 K 
22 00 00 00 00 00 00 00 yy. 
BS E8 C2 AE D6 2D 42 43 Py.. 
B8 02 AB B8 59 BA EC 2A 02 00 00 00 00 00 00 OO ,. 
80 00 00 00 80 00 00 00 FB 03 EC C8 00 00 00 EE i 
Onst 25F, a 


al 1 六 
25F | Size 


SGPT 头 备份 所 在 扇 区 


图 4.63 使 用 WinHex 中 的 模板 管理 器 中 查看 该 硬盘 的 GPT 头 


(2) 该 硬盘 的 5 个 GPT 分 区 表 分 别 存储 在 2 号 扇 区 和 3 号 扇 区 ,如 图 4. 64 所 示 , 从 图 4. 64 
可 知 ,第 1 个 GPT 分 区 范围 为 34 一 65569 号 扇 区 ,总 扇 区 数 为 65536 ,容量 为 32MB。 请 将 
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Partition2 一 Partition5 这 4 个 GPT 分 区 的 开始 扇 区 号 和 结束 扇 区 号 分 别 填 人 到 表 4. 26 对 应 
单元 格 中 ; 并 计算 这 4 个 GPT 分 区 的 总 扇 区 数 和 容量 ,将 结果 填 人 到 表 4. 26 对 应 单元 格 中 。 


ties apari 
[Ea [sz — [casa Jam Tistsegor T 
FA — MB 
FAn2 —us 
FAT32 — ue 
FAr32 -一 we 
| Partition 1 (MS Reserved) TMB 
stoe 3575 
17.0KB 0 
1908 2083184 
Offset 01234567 869ABCDE FE2ZI| 
00000400 |16 E3 C9 E3 SC OB B8 4D 81 7D F9 2D FO 02 15 AE .8E#\.,M.}u-é 
00000410 96 9C OE 33 EF AC BF 42 A9 52 07 86 D6 B6 68 0B ,3imzBBR.10qh . 
00000420 [22 00 00 00 00 00 00 00 [ 21 00 01 00 00 00 00 00 n 1 


00000430 [00 00 00 00 00 00 00 00 4D 00 69 00 63 00 72 00 
00000440 6F 00 73 00 6F 00 66 00 74 00 20 00 72 00 65 00 o.s.o.f.t. r.e. 
00000450 |73 00 6S 00 72 00 76 00 65 00 64 00 20 00 70 00 r.v.e.d. .p. 
Total capac 10GB 00000460 61 00 72 00 74 00 69 00 74 00 69 00 6F 00 6E 00 a.r.t.1.t.i.o.n. 
1 42 bes 00000470 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 š 
Bytes per sedor. 512 “00000460 A2 AD DO EB ES B9 33 44 87 CO 68 B6 B7 26 99 C7 ¢ Ðeà!3DIAhT-EIÇ 
«1 00000490 74 E8 91 2B 7C B3 3A 44 98 79 35 E7 CA SA 2A 38 tè'+|> Dlyseézo8 
Roo odor No 000004A0 [80 00 01 00 00 00 OO OO [ZF FO 06 DO 00 DO 00 DO 
000004B0 OD 00 00 00 OO OO OD OO 42 OO 61 OO 73 00 69 
Mode: hexadecmal 000004C0 63 00 20 00 64 00 61 00 74 00 61 00 20 00 70 
C r ane 000004D0 61 00 72 00 74 00 69 00 74 00 69 00 6F 00 6E 
ee pe apaes 000004EO 0O 00 00 00 00 OO OO 00 00 0000000000 00 
w 000004F0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
| maaa $ -00000500 A2 AO DO EB ES B9 33 44 67 CO 68 B6 B7 26 99 C7 ç Deà'3DIAh- i 
jasoa 00000510 D7 13 DF A2 1A 84 EC 4E 91 6E F3 90 67 FS FD 59 x.ñ¿.liN nó.gayY 
Cipboart avalable 00000520 [80 FO 06 00 00 00 00 OO [7F 30 OD 00 00 OD 00 00]15 0...... 
00000530 00 00 00 00 00 00 00 00 42 00 61 00 73 00 69 00 

TEMP oldeps GB nee 
WppDataocaltemp 00000540 63 00 20 00 64 00 61 00 74 00 61 00 20 00 70 OO c. .d.a.t.a. .p. 
00000550 61 00 72 00 74 00 69 00 74 00 69 00 6F 00 6E 00 a.r.t.i.t.i.o.n. 
00000560 OO 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 i 
00000s70 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
00000560 A2 A0 DO EB ES B9 33 44 87 CO 68 B6 B7 26 99 C7 ¢ 3oat3DIAh 
Rele sedorNoms 00000590 OE BA A6 41 64 B7 A8 42 82 9C B6 ES 66 99 AC DS 
ooooosao [80 30 00 00 oo oo oo 00T7F so 15 00 00 00 00 00] 10 
Mode: neradeoma 00000SB0 |00 00 00 00 00 00 00 00 42 00 61 00 73 00 69 
Charader gtSIASCN 000005C0 63 00 20 00 64 00 61 00 74 00 61 00 20 00 70 
000005DO 61 00 72 00 74 00 69 00 74 00 69 00 6F 00 6E 

les 

Ses per pe 00000SE0 00 00 00 00 00 00 OO OO 00 OO OO OO 0000 00 
000005F0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
00000600 A2 AO DO EB ES B9 33 44 67 CO 68 B6 B7 26 99 C7 ç oh nikhd Ei 
Clpboard: avalable 00000610 9B BD 40 66 CD E2 21 47 B9 74 EO 40 60 4A BS 852 1.@fialGlta@ JHI 
TEMPiawecaeq 00000620 [80 50 15 00 OD 00 00 OO |7F FO IF 00 OO 00 OO 00] iP i 
ppDataLocaTemp 00000630 00 00 00 00 00 OO DO 00 42 00 61 00 73 00 69 00 


00000640 63 00 20 00 64 00 61 00 74 00 61 00 20 00 70 00 c. .d.a.t.a. .p. 
< 00000650 61 00 72 00 74 00 69 00 74 00 69 00 6F 00 6E 00 a.r.t.1.t.i.o.n. 
Sector 2 of 2097153 Ofset 56F =0|Block 232-25F | Size: 


图 4.64 某 硬盘 2 号 扇 区 及 3 号 扇 区 前 96 字 节 


R426 某 硬盘 分 区 表情 况 表 


分 区 分 区 类 型 开始 扇 区 号 结束 扇 区 号 总 扇 区 数 容量 (单位 : MB) 


Partition1 34 65569 65536 32 
Partition2 


Partition3 
Partition4 


Partition5 


(3) Partition2 一 Partition5 这 4 个 GPT 分 区 的 文件 系统 均 为 FAT32, 而 FAT32 文件 系 
统 的 DBR( 简 称 FAT32_DBR) 分 别 存储 在 各 逻辑 盘 的 开始 扇 区 ,请问 Partition? — Partition5 
这 4 个 GPT 分 区 对 应 4 个 逻辑 盘 的 FAT32_DBR 分 别 存储 在 整个 硬盘 的 哪 4 个 扇 区 ? 

(4) 请 分 别 将 Partition2 一 Partition5、Partitionl 这 5 个 分 区 表 的 开始 扇 区 号 填 人 到 图 4. 64 
中 的 lst sector 对 应 下 画 线 处 。 

(5) 请 分 别 将 Partition2 一 Partition5 这 4 个 分 区 的 容量 填 和 到 图 4. 64 中 的 Size 对 应 下 
画 线 处 。 
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(6) 假设 用 户 计算 机 的 磁盘 0 被 划分 为 5 个 逻辑 盘 , 盘 符 范围 为 C: 一 G:。 该 硬盘 通过 计 
算 机 管理 中 的 磁盘 管理 附加 成 磁盘 1 后 ,在 资源 管理 器 中 将 会 看 到 昌 :、I: ,J: 和 :, 请 分 别 将 
这 4 个 逻辑 盘 在 磁盘 1 中 开始 扇 区 号 和 结束 扇 区 号 填 人 到 图 4. 65 对 应 下 夯 线 处 。 

(7) 这 4 个 逻辑 盘 单 独 打开 后 ,开始 扇 区 号 均 为 0, 将 这 4 个 逻辑 盘 单 独 打开 后 的 结束 扇 
区 号 填 人 到 图 4. 65 对 应 下 画 线 处 。 


逻辑 盘 符 | 整个 硬盘 逻辑 扇 区 号 | 各 逻辑 盘 鹿 区 号 用 途 


0 保护 MBR 


表 

2-33 第 3 个 分 区 表 | 
表 
表 


第 1 个 分 区 
34-65569 0-65535 =s 
(微软 保留 分 区 ) 


65570~65663 分 区 代沟 


Hë 


mer | |C M ; I 第 2 个 主 分 区 


K 7 1 盘 — ag PPP 
区 È ( MB) š u 第 3 个 主 分 区 | 一 


域 JA 


CMB) ~ ~ 第 4 个 主 分 区 


0 L 
Ki | 
Ü Mi = > 第 5 个 主 分 区 D 


2093184~2097152 未 分 区 区 域 


第 1 个 分 区 表 备 份 | TIT 
第 2 个 分 区 表 备份 | 一 | 二 
第 3 个 分 区 表 备份 |H 

第 4 个 分 区 表 备份 
第 5 个 分 区 表 备份 | -] 


GPT 头 备份 
A | === | L  _ j 


4.65 5 个 GPT 分 区 对 应 的 5 个 逻辑 盘 在 磁盘 1 中 的 分 布 情况 图 


(8) 将 4 个 逻辑 盘 容 量 填 入 到 图 4. 65 盘 符 下 面 线 处 。 

(9) 请 将 GPT 分 区 表 备 份 所 在 扇 区 号 范围 填 人 至 图 4.65 对 应 下 画 线 处 ,将 GPT 头 备 份 
所 在 扇 区 号 填 人 至 图 4. 65 对 应 下 面 线 处 。 

(10) 使 用 WinHex 模板 功能 查看 该 硬盘 的 5 个 GPT 分 区 表 , 如 图 4. 66 所 示 ,请 分 别 将 
这 5 个 GPT 分 区 表 开 始 扇 区 、 结 束 扇 区 和 分 区 名 填 和 人 到 图 4. 66 对 应 下 夯 线 处 。 

4.18 在 本 章 第 50 页 的 例 4. 1 中 ,用 户 在 磁盘 1 上 建立 了 一 个 MBR 分 区 ,假设 用 户 在 
“简单 卷 大 小 (MB)(S) :” 右 侧 列表 框 中 输入 或 选择 194MB, 请 回答 下 列 问题 : 

(1) 用 户 建立 的 MBR 分 区 表 存 储 在 磁盘 1 的 几 号 扇 区 ? 扇 区 偏 移 范围 是 多 少 ? 

(2) 在 “简单 卷 大 小 (MB)(S) :? 右 侧 列表 框 中 输入 或 选择 的 194MB, 以 什么 样 的 形式 存 
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Ottset Tite Value Offset Tite Value 
eT GPT4 

400 分 区 类 到 T6E3C9E35C08B84D8170F920F00215AE 580 分 区 类 型 AZAD DO EB ES B9 33 44 87 CO 68 B6 B7 26 99 C7 
410 HECUD 069C0E33EFACBF42A9520786D6B5680B 590 分 区 GUID OE BAAS 4164 B7A8 4282 9C B6 E5 66 99AC DI 


420 SERBE 50 分 区 开始 区 = 
428 HRARME saa EARME 

430 HERE T 5B0 HERE T 

438 HEE æ 分 区 名 

GPT2 crs 

430 分 区 类 型 — A2A0 DO EB E5 B9 334487 C0 68 B6 B7 2699 C7 500 EZE  AZAO DO EBES B9 3344 87 C0 68 B6 B7 26 99 C7 
490 “分 区 GUID 74EB 912B7CB33A44987935E7 CASA2A38 610 分 区 GUID  g88D4065CDE221478974E040604A8582 
4A0 分 区 开始 出 区 620 分 区 开始 病 E. — == 
48 ”分 区 结束 局 区 528 AERRME, 

480 HERE T 530 分 区 属性 0 

<s 分 区 名 538 分 区 名 

Pa MESIT: 际 二 德 (云南 大 字 ) 

500 分 区 类 型 。 A2A0 DO EB E5 B9 334487 C0 68 B6 B7 26 99C7 


š 


分 区 GUD — D7 13 DF A2 1A84 EC 4E 91 6E F3 90 67 F5FD59 


ELE 


4.66 使 用 WinHex 模板 查看 5 个 GPT 分 区 情况 


储 在 磁盘 1 的 什么 位 置 ( 即 扇 区 偏 移 范 围 )? 占 多 少 个 字 节 ? 写 出 其 存储 形式 、 对 应 十 六 进 制 
和 十 进 制 。 

(3) 在 建立 MBR 分 区 过 程 中 ,如 果 用 户 没有 对 该 分 区 进行 (快速 ) 格 式 化 操作 , 写 出 MBR 
分 区 表 ; 如 果 用 户 对 该 分 区 进行 (快速 ) 格 式 化 操作 ,文件 系统 选择 “FAT32”, 写 出 MBR 分 区 
表 ; 如 果 用 户 对 该 分 区 进行 (快速 ) 格 式 化 操作 ,文件 系统 选择 “NTFS”, 写 出 MBR 分 区 表 。 

(4) 假设 该 分 区 表 对 应 的 逻辑 盘 符 为 H: ,请 写 出 H 盘 的 开始 扇 区 号 .结束 扇 区 号 和 H 盘 
占用 总 扇 区 数 。 

提示 : 在 Windows 7 平台 下 ,如果 用 户 在 磁盘 1 上 建立 第 1 个 分 区 ,那么 ,第 1 个 分 区 的 
开始 扇 区 号 一 般 为 128。 

4.19 某 硬盘 0 号 扇 区 偏 移 0X01BE—0X01FD 处 存储 有 4 个 分 区 表 , 如 果 将 该 硬盘 通过 
计算 机 管理 中 的 磁盘 管理 功能 附加 后 ,成 为 磁盘 1, 所 产生 的 4 个 逻辑 盘 对 应 盘 符 分 别 是 H:、 
1:.J: f K; ; 文件 系统 均 为 FAT32,4 个 逻辑 盘 在 磁盘 1 中 的 分 布 情况 如 图 4. 67 所 示 ( 注 : R 
材 文 件 名 为 zy4_19. vhd) ,请 回答 下 列 问题 ; 

(1) 请 分 别 将 4 个 逻辑 盘 的 容量 填 人 到 图 4.67 对 应 下 面 线 处 。 

各 逻辑 盘 扇 区 号 
H 盘 分 区 表 
1 盘 分 区 表 


9 J 盘 分 区 表 
K 盘 分 区 表 


整个 硬盘 扇 区 号 


1~127 


128~196735 0-196607 


一 一 aart- 


196736-401535 0-204799 


—— 5432288 = 


401536-688255 0-286719 


688256-1020031 0~331775 


1020032~1024000 


图 4.67 某 硬盘 逻辑 盘 分 布 情况 
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(2) 请 将 4 个 逻辑 盘 对 应 4 个 MBR 分 区 表 和 在 整个 硬盘 0 号 扇 区 偏 移 填 人 到 表 4. 27 对 


应 单元 格 中 。 
(3) 请 将 表 4.27 中 4 个 MBR 分 区 表 分 别 填 人 到 图 4. 68 对 应 下 画 线 处 ,请 分 别 将 4 个 逻 
辑 盘 的 容量 ( 即 Size) 和 开始 扇 区 号 ( 即 1st sector) 填 人 到 图 4. 68 对 应 下 画 线 处 。 


R427 某 硬盘 分 区 表情 况 表 (存储 形式 ) 


本 扇 区 偏 移 对 应 的 MBR 分 区 表 
H# si 
I # = 
J # = 
K # = 


Panmoning ste MER 


Name En 二 
Z.Pammon+ (HR) FAT32 ve 
š FAT32 Me 
FAT32 ue 一 
FAT32 Me 
ET s 
3948 1016064 
Offset 0 1234567 869A6bCc DEF 
undolwet o| 00000180 65 6D 00 00 00 63 7B 9A 62 E6 C4 D4 00 OO — — 
Undorevwerses: wa | oooooico _ _ _ _ _ _ _ _ CE 
= ug | 00000100 — 
—— T |= — — — 
OPT TUE] moos | 一 一 一 一 一 一 一 一 一 一 一 一 一 一 S5 AA 
Sedor 0 ot 1024001 Onset £I 3 Bo 


4.68 某 硬盘 0 号 扇 区 最 后 80 字 节 


4.20 在 Windows 平 台 下 ,假设 你 要 为 硬盘 设计 一 种 新 的 分 区 形式 ,你 认为 需要 考虑 哪 
些 因 素 ? 


s Ó x 


FAT32 文 件 系统 


5.1 FAT 文 件 系 统 概述 


FAT(File Allocation Table) 文 件 系 统 是 微软 公司 最 初 为 DOS 操作 系统 设计 的 一 种 磁盘 
HR. FAT 文件 系统 用 “得 ” 作 为 文件 或 文件 夹 ( 即 子 目 录 ) 的 分 配 单元 ,1 个 “ 簇 "等 于 2" 个 连 
续 的 扇 区 ( 注 : 0n 三 10) ,1 簇 等 于 多 少 个 扇 区 在 逻辑 盘 的 分 区 引导 扇 区 中 有 定义 。 

目前 ,FAT 文件 系统 主要 有 FAT12.FAT16.FAT32 和 exFAT 文件 系统 ,最 早 的 FAT 
文件 系统 是 指 FAT12,FAT12 是 用 12 位 ( 即 1.5 字 节 ) 来 对 簇 进行 编号 ; 可 以 管理 的 最 大 容 
量 是 8MB, 在 当时 的 情况 下 ,FAT12 管理 能 力 是 非常 大 的 。 但 随 着 其 他 外 存储 器 (如 : U Wk. 
手机 卡 、 存 储 卡 等 ) 的 出 现 以 及 硬盘 容量 的 不 断 增 大 ,微软 公司 先后 又 推出 了 FAT16.FAT32 
和 exFAT 文 件 系统 。 

FAT16 是 用 16 位 ( 即 2 字 节 ) 来 对 簇 进 行 编号 ; FAT32 则 是 用 32 位 ( 即 4 字 节 ) 来 对 艇 
进行 编号 。 对 于 FAT12 和 FAT16 文件 系统 而 言 , 如 果 逻 辑 盘 被 (快速 ) 格 式 化 ,在 该 迎 辑 盘 
上 存储 的 第 一 个 文件 或 者 子 目录 , 它 的 开始 复 号 是 2; 而 对 于 FAT32 文件 系统 而 言 ,逻辑 盘 
的 根 目录 开始 簇 号 是 2。 

FAT12 文件 系统 主要 用 于 软磁盘 ,而 FAT16 文件 系统 主要 用 于 小 容量 的 硬盘 、U 盘 、 存 
储 卡 等 ; FAT32 文件 系统 主要 用 于 大 容量 的 硬盘 、U 盘 、 存 储 卡 等 ; 而 exFAT 是 微软 公司 在 
Windows Embeded 6.0 中 引入 的 一 种 适合 于 闪存 的 文件 系统 。 


5.2 FAT16 文 件 系 统 


5.2.1 FAT16 文件 系统 介绍 


DOS2. 0 以 前 的 操作 系统 使 用 的 文件 系统 是 FAT12; 在 DOS2. 0 以 后 ,微软 公司 推出 了 
新 的 文件 系统 FAT16,FAT16 除了 采用 16 位 ( 即 2 字 节 ) 来 对 一 个 簇 进行 编号 外 ,在 其 他 方 
面 与 FAT12 没有 区 别 。 因 此 ,FAT16 可 以 管理 的 总 复数 增加 到 了 65534 个 ( 即 0X02 — 


@ 大 话 数据 恢复 


0XFFFF) 。 当 簇 的 总 数 小 于 4096 时 ,文件 系统 还 是 使 用 FAT12; 当 簇 的 总 数 大 于 4096 时 ， 
文件 系统 使 用 的 就 是 FAT16。 刚 推出 的 FAT16 文件 系统 管理 磁盘 的 能 力 实际 上 是 32M, 这 
在 当时 看 来 是 足够 大 的 。 

1987 年 以 后 ,硬盘 技术 的 发 展 推动 了 文件 系统 的 发 展 。 在 DOS4. 0 以 后 ,FAT16 可 以 管 
理 到 128M 的 磁盘 ,然而 这 个 数字 还 在 不 断 增加 ,一 直到 2GB。 需 要 指出 的 是 ,在 Windows 95 
系统 中 ,采用 了 一 种 比较 独特 的 技术 , 叫 作 VFat 来 解决 长 文件 名 的 问题 。 然 而 FAT16 分 区 
格式 存在 严重 的 缺点 , 即 大 容量 磁盘 利用 率 非常 低 ; 因为 磁盘 文件 的 分 配 以 簇 为 单位 , 当 一 个 
艇 比较 大 时 ,存储 的 小 文件 越 多 ,浪费 的 磁盘 空间 也 就 越 多 ,也 就 是 说 ,即使 一 个 很 小 的 文件 也 
要 占用 一 个 簇 ,这 个 簇 剩余 的 空间 便 会 全 部 闲置 ,这 样 就 造成 了 磁盘 空间 的 浪费 。 


5.2.2 FAT16 文件 系统 组 成 


FAT16 文件 系统 由 保留 扇 区 、FAT KOGE: FAT KH FATI KA FAT? RAR) 、 根 目录 
区 域 和 数据 区 4 大 部 分 组 成 ,总 体 布局 大 致 如 图 5. 1 所 示 ( 其 中 : i 和 j 均 为 正 整 数 , 目 i<j). 
在 FAT16 文件 系统 中 , 根 目录 占用 区 域 是 固定 的 ,位 于 FAT 表 和 数据 区 之 间 , 因 此 , 根 目录 
下 所 存放 的 文件 ( 夹 ) 数 量 也 是 有 限 的 。 


FAT 表 根 目录 
虹 留 w 区 
ARAK FATI 表 FAT2 表 | 区 域 数据 区 
j 号 户 区 , 证 1 号 扁 区 ,…… 
C ERTES 


OSK, 1 号 扇 区 , …… iS | ws 


5.1 FAT16 文件 系统 总 体 布局 


5.2.3 FAT16 iZ #B Pi < = 55 $£ = 


当 用 户 使 用 FAT16 文件 系统 对 一 个 逻辑 盘 进 行 (快速 ) 格 式 化 后 ,查看 到 的 逻辑 盘 总 容 
量 是 指数 据 区 的 容量 ,而 不 是 指 整个 逻辑 盘 总 扇 区 数 的 容量 。 对 于 逻辑 盘 而 言 ,逻辑 扇 区 是 从 
0 开始 连续 编号 , 即 该 分 区 引导 扇 区 的 逻辑 扇 区 号 为 0; 而 簇 则 是 从 数据 区 开始 连续 编号 ,一 
般 情况 下 , 簇 的 开始 号 为 2。 
计算 逻辑 盘 总 扇 区 数 如 式 (5. 1): 
逻辑 盘 总 扇 区 数 = 保留 扇 区 数 十 每 个 FAT 表 占 用 扇 区 数 X 2 + 
( 根 目录 区 域 存放 的 目录 项 数 X 32) — 512 十 数据 区 占用 扇 区 数 (5.15 
簇 号 与 逻辑 扇 区 号 转换 公式 如 式 (5. 2): 
ZERKI = 保留 肩 区 数 十 每 个 FAT 表 占 用 扇 区 数 >x 2 + 
( 根 目录 区 域 存放 目录 项 数 >x 32) + 
512+ R5 — 2) X 扇 区 数 / f$ + N—1 (5:2) 
其 中 : KIE Pt Ea 8 PCR A FAT 表 占 用 扇 区 数 、 根 目录 区 域 存 放 的 目录 项 数 这 4 个 
参数 直接 从 FAT16 文件 系统 分 区 引导 扇 区 的 BPB 参数 中 获得 ; N 为 小 于 或 者 等 于 扇 区 数 / 
簇 的 正 整 数 集合 。 
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5.3 FAT32 文件 系统 


5.3.1 FAT32 文件 系统 介绍 


FAT32 文件 系统 目前 主要 用 于 U 盘 、 照 相机 (或 者 摄像 机 ) 的 SD 卡 、 手 机 (或 看 戏 机 ) 的 
TF E ,移动 硬盘 以 及 硬盘 等 外 部 存储 器 。 

FAT32 文件 系统 是 FAT 系列 文件 系统 中 的 一 个 产品 。 它 采用 32 位 的 文件 分 配 表 ,突破 
了 FAT16 文件 系统 2GB 的 分 区 容量 限制 ,增强 了 磁盘 的 管理 能 力 。 

FAT32 推出 时 ,主流 硬盘 空间 并 不 大 ,所 以 微软 公司 将 其 设计 在 一 个 不 超过 8GB 的 分 区 
中 ,每 个 簇 的 大 小 固定 为 4KB, 与 FAT16 相 比 大 大 减少 了 磁盘 空间 的 浪费 ,同时 也 提高 了 磁 
盘 空 间 的 利用 率 。 一 般 情况 下 ,FAT32 文件 系统 中 逻辑 盘 容 量 与 簇 大 小 的 关系 大 致 见 表 5. 1 
所 列 。 

表 5.1 FAT32 文件 系统 远 辑 盘 容 量 与 簇 大 小 的 关系 


逻辑 盘 的 容量 #⁄ 的 大 小 
人 逻辑 盘 容 量 三 8GB 4KB( 即 8 个 扇 区 ) 
8GB 二 逻辑 盘 容 量 三 16GB 8KB( 即 16 个 扇 区 ) 
16GB 一 逻辑 盘 容 量 二 32GB 16KB( 即 32 个 扇 区 ) 
32 A Ht—>32GB 32KB( 即 64 个 扇 区 ) 


支持 这 种 格式 的 操作 系统 有 Windows 95, Windows 98, Windows 98 SE, Windows Me, 
Windows 2000、Windows XP 和 Windows 7, Linux Redhat 部 分 版 本 也 对 FAT32 提供 有 限 
支持 。 


5.3.2 FAT32 文件 系统 总 体 布局 


FAT32 文件 系统 由 保留 扇 区 FAT 表 和 数据 区 3 大 部 分 组 成 。 这 3 个 区 域 是 在 逻辑 盘 
被 (快速 ) 格 式 化 完成 后 创建 的 。 注 : 保留 扇 区 由 分 区 引导 扇 区 即 FAT32_DBR FSINFO, 
FAT32_DBR 备份 和 FSINFO 备份 等 组 成 ; FAT 表 则 由 FATI 表 和 FAT? 表 组 成 ; FAT32 
文件 系统 的 总 体 布局 大 致 如 图 5.2 所 示 ( 注 : 在 图 5.2 中 ,i 和 j 均 为 正 整 数 ,i 二 保留 扇 区 数 ， 
j=i+# FAT 表 占 用 扇 区 数 X2)。 


保留 记 区 次 数据 区 


FATI 表 FAT2 表 
JS BD, JASAR, 
25548.3588. 


> 


0 号 扇 区 , 1 号 扇 区 ,…… iA, = 


图 5.2 FAT32 文件 系统 总 体 布局 


FAT32 文件 系统 与 FAT16 文件 系统 最 大 的 区 别 在 于 : FAT32 文件 系统 将 根 目录 作为 
数据 区 来 处 理 , 而 FAT16 文件 系统 则 将 根 目 录 作 为 一 块 固定 的 区 域 来 处 理 。 因 此 ,FAT32 X 
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件 系统 对 根 目录 的 管理 与 对 子 目 录 ( 文 件 夹 ) 的 管理 是 一 样 的 。 簇 的 编号 也 是 从 数据 区 开始 ， 
开始 簇 号 也 是 2, 也 就 是 根 目录 的 开始 艇 号 。 从 分 区 引导 扇 区 到 2 号 簇 之 间 的 扇 区 只 能 作为 
逻辑 扇 区 来 进行 管理 。 

例 5.1 某 硬 盘 总 扇 区 数 为 419841( 从 0 至 419840 号 扇 区 )。 在 该 硬盘 0 号 扇 区 存储 有 
一 个 MBR 分 区 表 ; MBR 分 区 的 相对 扇 区 为 128, 总 扇 区 数 为 413696 ,该 分 区 表 对 应 的 盘 符 为 
J 盘 。FAT32_DBR 位 于 丁 盘 的 0 号 扇 区 ,从 FAT32_DBR 可 知 , 保 留 扇 区 数 为 5022, 每 个 簇 
的 扇 区 数 为 2, 每 个 FAT 表 占 1585 个 扇 区 , 丁 盘 总 扇 区 数 为 413696( 扇 区 编号 范围 0 一 
413695) ,文件 系统 信息 ( 即 FSINFO 所 在 扇 区 ) 在 丁 盘 的 1 号 扇 区 ,FAT32_DBR 备份 在 丁 盘 
的 6 号 扇 区 ; 整个 硬盘 扇 区 号 本 盘 扇 区 号 与 禾 号 的 对 应 关系 见 表 5. 2 所 列 ( 注 : 在 本 章 中 如 
果 没 有 作 特 别 说 明 ,J 盘 是 指 由 素材 文件 abcd5. vhd 通过 计算 机 管理 附加 后 所 产生 的 虚拟 


硬盘 ) 。 
表 5.2 整个 硬盘 扇 区 号 J 盘 肩 区 号 与 徐 号 的 对 应 关系 表 
Ç 整个 硬盘 占用 
扇 区 用 途 AKS J 盘 肩 区 号 RG 描 述 BS 备注 
从 分 区 表 至 J # FAT32_ 
(J —127 12: 
PAAZ ANES DBR KR C 8 ° 
128 0 FAT32_DBR 1 
保 129 1 FSINFO f 
留 130—133 2—5 未 用 4 
a 134 6 FAT32_DBR 备份 1 J 
135 ç FSINFO 备份 1 # 
136—5149 8—5021 未 用 5014 A 
FAT1 表 | 5150~6734 | 5022~6606 FATI 表 1585 | 8 
FAT 区 
FAT2 表 | 6735—8319 | 6607 一 8191 FAT2 表 1585 
8320 一 8321 8192 一 8193 2 根 目 录 开 始 簇 号 2 
数据 区 8322~8323 | 8194~8195 3 子 目 录 、 根 目录 的 下 一 个 簇 2 
8324—413823 | 8196 一 413695 | 4 一 202753 | 号 ,文件 和 数据 存放 位 置 405500 
未 分 区 的 扇 区 号 | 413824 一 419840 6017 


从 表 5. 2 可 知 ,如 果 FAT32_DBR 被 破坏 ,而 FAT32_DBR 备份 完好 无 损 , 可 以 通过 菜单 
栏 “工具 一 打开 磁盘 一 选择 Physical Media 下 的 物理 盘 ? 来 打开 整个 硬盘 ,然后 再 根据 整个 硬 
盘 扇 区 号 与 J 盘 扇 区 号 的 对 应 关系 ,将 FAT32_DBR 备份 复制 到 FAT32_DBR 处 即 可 解决 。 

注 : 如 果 FAT32_DBR 被 破坏 ,该 逻辑 盘 的 文件 系统 为 RAW。 在 资源 管理 器 中 , 单 击 该 
盘 符 时 ,会 出 现 * 磁 盘 未 格式 化 ?提示 。 

切记 ! 此 时 * 千 万 不 要 对 逻辑 盘 进 行 格式 化 "操作 。 


5.3.3 FAT32 分 区 引导 扇 区 


FAT32 分 区 引导 扇 区 (简称 FAT32_DBR) 位 于 逻辑 盘 的 0 号 扇 区 ,共计 512 字 节 。 由 跳 
转 指令 、 空 操作 指令 .OEM ID、BPB(BIOS Parameter Block) 参 数 .扩展 BPB 参数 ,分 区 引导 记 
录 、 结 束 标志 7 部 分 组 成 。 分 区 引导 扇 区 各 部 分 划分 情况 见 表 5. 3 所 列 。 
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表 5.3 FAT32_DBR 中 各 部 分 的 位 置 划分 


字 节 偏 移 字段 长 度 (单位 : 字 节 ) 字段 含义 
0X00 š 跳 转 指令 
0X02 1 空 操作 指令 
0X03 8 OEM ID 
0X0B 83 BPB 参数 
0X40 26 扩展 BPB 参数 
0X5A 420 分 区 引导 记录 

0X01FE 2 结束 标志 


FAT32_DBR 前 3 字 节 必须 是 合法 的 \、 可 执行 的 ,基于 x86 的 CPU 指令 ,一 般 为 跳 转 指令 
和 空 操作 指令 , 跳 转 指令 负责 跳 转 到 操作 系统 引导 记录 代码 的 开始 位 置 。 

空 操作 指令 后 是 8 字 节 长 的 OEM ID, 它 是 一 组 字符 串 ,OEM ID 一 般 标识 了 格式 化 该 分 
区 操作 系统 的 名 称 和 版 本 号 或 者 是 厂商 标志 。 为 了 保留 与 MS-DOS 的 兼容 性 ,通常 在 被 
Windows 95 格式 化 的 逻辑 盘 上 ,OEM ID 字段 出 现 *MSWIN4. 0”; 在 被 Windows 95 OSR2 
和 Windows 98 格式 化 的 逻辑 盘 上 ,OEM ID 字段 出 现 *<MSWIN4. 1”; 在 被 Windows 2000 以 
上 版 本 格式 化 的 逻辑 盘 上 ,OEM ID 字段 出 现 *MSDOS 5.0”; 在 被 厂商 格式 化 的 逻辑 盘 上 会 
标识 为 厂商 标志 。 

扇 区 偏 移 0X0B 一 0X59 描述 的 是 能 够 被 可 执行 引导 记录 找到 相关 参数 的 信息 。 通 常 称 为 
BPB 参数 ,BPB 一 般 开 始 于 相同 的 字 节 偏 移 量 ,标准 的 参数 处 于 一 个 已 知 的 位 置 。BPB 参数 包含 
了 该 逻辑 盘 的 一 些 基 本 参数 ,主要 包括 : 每 扇 区 的 字 节 数 、 每 簇 的 扇 区 数 .FAT 表 的 个 数 、 每 个 
FAT 表 占 用 扇 区 数 等 。 由 于 引导 扇 区 的 第 一 部 分 是 一 个 x86 跳 转 指令 ,因此 将 来 通过 在 BPB K 
端 附加 新 的 信息 ,可 以 对 BPB 进行 扩展 。 只 需要 对 该 跳 转 指令 作 一 个 小 的 调整 就 可 以 适应 
BPB 的 扩展 。 表 5.4 和 表 5.5 分 别 给 出 了 FAT32_DBR 的 BPB 参数 和 扩展 BPB 参数 含义 。 


表 5.4 FAT32_DBR 的 BPB 字段 


字 节 偏 移 字 节 数 & x 
0X0B 字 节 数 / 扇 区 
0X0D B X 38 / 88 
0X0E 保留 扇 区 数 , 即 FAT32_DBR 至 FAT1 表 之 间 的 扇 区 
0X10 FAT 表 的 个 数 ,一 般 为 2, 即 有 2 个 FAT 表 
0X11 对 于 FAT32 分 区 为 00, 即 未 用 
0X13 对 于 FAT32 分 区 为 00, 即 未 用 
0X15 媒体 描述 符 ,0XF8 表示 硬盘 、U 盘 、SD 卡 等 
OX16 对 于 FAT32 分 区 为 00, 即 未 用 
0X18 扇 区 数 / 磁 道 
OX1A 磁头 数 
0X1C 隐藏 扇 区 数 , 即 分 区 表 至 FAT32_DBR 之 间 的 扇 区 , 注 : 该 值 的 正确 性 系统 一 
般 不 做 检验 
FAT32 文件 系统 的 总 扇 区 数 ,该 值 等 于 MBR 分 区 表 中 的 总 扇 区 数 
每 个 FAT R h HA 
扩展 标志 
文件 系统 版 本 
根 目 录 的 开始 簇 号 ,一 般 为 2 
文件 系统 信息 扇 区 号 ,位 于 FAT32_DBR 之 后 ,一 般 为 1 
FAT32_DBR 备份 所 在 扇 区 号 ,一 般 为 6 
保留 , 供 以 后 扩充 使 用 的 保留 空间 
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0X20 
0X24 
0X28 
0X2A 
0X2C 
0X30 
0X32 
0X34 
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表 5.5 FAT32_DBR 的 扩展 BPB 字段 
字 节 偏 移 字 节 数 = - 久 


0X40 1 物理 驱动 器 号 ,与 BIOS 物理 驱动 器 号 有 关 , 软 盘 驱 动 器 被 标识 为 0X00, 物 理 
硬盘 被 标识 为 0X80 ,而 与 物理 磁盘 驱动 器 无 关 ; 一 般 地 ,在 发 出 一 个 INT13H 
BIOS 调用 之 前 设置 该 值 ,具体 指定 所 访问 的 设备 ; 只 有 当 该 设备 是 一 个 引导 


设备 时 ,这 个 值 才 有 意义 
0X41 1 保留 ,FAT32 分 区 总 是 将 本 字段 的 值 设 置 为 00 
0X42 1 扩展 引导 标签 ,本 字段 必须 要 有 能 被 Windows 2000 所 识别 的 值 0X28 或 0X29 
0X43 4 卷 标 序号 ,在 格式 化 磁盘 后 所 产生 的 一 个 随机 序号 
0X47 11 FAT12 的 卷 标 , 现 在 的 卷 标 保存 在 根 目录 中 ,一 般 为 "NO NAME” 
0X52 8 系统 ID, FAT32 文件 系统 中 一 般 取 为 “FAT32” 


分 区 引导 记录 主要 功能 是 : 将 逻辑 盘 中 存储 的 操作 系统 主要 文件 调 入 到 内 存 中 ; 而 有 效 
结束 标志 则 表示 该 扇 区 为 有 效 扇 区 ,固定 值 为 “55 AA”( 存 储 形式 )。 
例 5.2 J 盘 FAT32 文件 系统 分 区 引导 扇 区 , 即 FAT32_DBR ,如 图 5.3 所 示 。 


Offset 01234567 
00000000 EB 58 90 4D 53 44 4F 53 00 02 
00000010 02 00 00 00 00 F8 00 00 3F 00 FF 00 80 
00000020 00 50 06 00 31 06 00 00 00 00 00 00 
00000030 01 00 06 00 00 00 00 00 00 00 00 00 
00000040 80 00 29 80 45 86 36 4E 4F 20 4E 41 4D 45 20 20 — " 
00000050 20 20 46 41 54 33 32 20 20 20 33 C9 8E D1 BC F4 FAT32 3 KENS? 
00000060 7B 8E C1 8E D9 BD 00 7C 88 4E 02 8A 56 40 B4 41 {WRIX? |41. 340m 
00000070 BB AA 55 CD 13 72 10 81 FB 55 AA 75 OA F6 Cl 01 4 Ur. . 83 货 . 
00000080 74 05 FE 46 02 EB 2D 8A 56 40 B4 08 CD 13 73 05 t. P$. ?380?9s. 
00000090 B9 FF FF 8A Fl 66 OF B6 C6 40 66 OF B6 D1 80 E2 ?88 f. 镀 6f. 堆 8? 
000000A0 3F F7 E2 86 CD CO ED 06 41 66 OF B7 C9 66 F7 El MEISTE. Af. X f BE 
000000B0 66 89 46 F8 83 7E 16 00 75 38 83 7E 2A 00 7732 fIBC..u8 偷 #. w2 
000000C0 66 8B 46 1C 66 83 CO OC BB 00 80 B9 01 00 E8 2B f #¥. f£ Wb. ?8?.? 
000000D0 00 E9 2C 03 AO FA 7D B4 7D 8B FO AC 84 CO 74 17.2. 5) PRINTRE. 
000000E0 3C FF 74 09 B4 OE BB 07 00 CD 10 EB EE AO FB 7D 08t.?2.2 膊 狂 } 
000000F0 EB E5 AO F9 7D EB EO 98 CD419 66 60 80 7E MEIERI. ?f 8% 


00000100 02 00 OF 84 68 T... 2. fj. fP. Sfh. 
00000110 00 01 .. . HORIFXFX 
00000120 66 58 人 fXfX?f ;FP 能. gif 
00000130 33 3 88. 种 . f RIR f? 
00000140 DO 8 街 陵 . ii. ta 380142 
00000150 E4 3. 谈 .. ?fa. #8. 


00000160 C3 
00000170 20 00 00 00 00 
00000180 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
00000190 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
000001A0 00 00 00 00 00 00 00 00 00 00 00 00 OD 0A 52 6 
000001B0 6D 6F 76 65 20 64 69 73 6B 73 20 6F 72 20 6F 74 
000001C0 68 65 72 20 6D 65 64 69 6l 2E FF OD OA 44 69 73 
000001D0 6B 20 65 72 72 6F 72 FF OD OA 50 72 65 73 73 20//k error. . Press 

000001E0 61 6E 79 20 6B 65 79 20 74 6F 20 72 65 73 74 any key to resta 
000001F0 72 74 OD OA 00 00 00 00 00 AC CB D8 00 00 55 AA rt #E?. U? 


?. f@Iu Z BOOTMGR 
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图 5.3 J 盘 的 FAT32_DBR 
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J # FAT32_DBR 的 BPB 参数 见 表 5. 6 所 列 ,扩展 BPB 参数 见 表 5.7 所 列 。 


表 5.6 JÆ FAT32_ DBR 中 BPB 字段 


字 节 值 
字 节 数 & Xx 
偏 移 十 进 制 | 十 六 进 制 | 存储 形式 
0X00 2 EB 58 跳 转 指令 
0X02 1 90 空 操作 指令 
4D 53 44 4F 
OX03| 8 a OEM ID, 即 厂商 标志 或 者 操作 系统 版 本 号 
OX0oB| 2 512 0200 00 02 字 节 数 / 扇 区 
oxoD| 1 2 02 扇 区 数 / 簇 
OXoE| 2 5022 139E 9E13 保留 扇 区 数 
0X10 1 2 多 02 FAT 表 的 个 数 
0X11 2 00 00 00 00 对 于 FAT32 分 区 ,本 字段 必须 为 00 
0X13 2 00 00 00 00 对 于 FAT32 分 区 ,本 字段 必须 为 00 
0X15 1 F8 0XF8 表示 硬盘 、U # .SD 卡 等 
0X16 2 00 00 00 00 对 于 FAT32 分 区 ,本 字段 必须 为 00 
0X18 2 63 3F 00 3F 扇 区 数 / 磁 道 
0OXIA| 2 255 FF FF 00 磁头 数 
OX1C| 4 128 80 80 00 00 00 | KERUN K% 
0X20 4 413696 65000 00 50 06 00 | 总 扇 区 数 
0X24 4 1585 631 31 06 00 00 | 每 个 FAT 表 占 用 扇 区 数 
0X28 2 0 0 00 00 扩展 标志 
OX2A| 2 0 0 00 00 文件 系统 版 本 
OX2C| 4 0 2 02 00 00 00 | 根 目录 的 开始 簇 号 ,一 般 为 2 
0X30 z 1 1 01 00 文件 系统 信息 所 在 扇 区 号 ,一般 为 1 
0X32 t 6 6 06 00 FAT32_DBR 备份 所 在 扇 区 号 ,一 般 为 6 
0X34| 12 保留 , 供 以 后 扩充 使 用 的 保留 空间 
表 5.7 J # FAT32_DBR 中 扩展 BPB 字段 
FE | yg = & x 
偏 移 十 进 制 十 六 进 制 存储 形式 
0X40 1 128 80 80 物理 驱动 器 号 
0X41 1 0 保留 ,总 为 00 
0X42 1 29 29 扩展 引导 标签 
0X43 4 914769280 36864580 80 45 86 36 卷 标 序号 
0X47 11 一 般 为 “NO NAME” 
0X52 8 一 般 为 “FAT32” 


使 用 WinHex 软件 的 模块 管理 器 读 取 丁 盘 FAT32_DBR 参数 ,结果 如 图 5.4 所 示 。 
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图 5.4 FAT32_DBR 的 BPB 参数 


5.3.4 计算 FAT32 有 关 参 数 


在 使 用 FAT32 文件 系统 的 逻辑 盘 时 ,常常 会 碰 到 计算 逻辑 盘 的 一 些 参 数 ,其 公式 如 


式 (5.3) 一 式 (5. 6)， 
数据 区 占 扇 区 数 = 逻辑 盘 总 扇 区 数 一 
(保留 扇 区 数 十 每 个 FAT 表 占 用 扇 区 数 X 2) (5.3) 
逻辑 盘 总 容量 = 逻辑 盘 总 扇 区 数 X 512 字 节 (5.4) 
剩余 扇 区 数 = mod( 数 据 区 占 扇 区 数 ,每 个 艇 的 扇 区 数 ) (5.5) 


格式 化 后 逻辑 盘 容 量 = (数据 区 占 扇 区 数 一 剩余 扇 区 数 ) X 512 字 节 (5.65 

注 : 在 式 (5.3) 至 式 (5.6) 中 ,每 个 扇 区 的 字 节 数 为 512。 

其 中 : 逻辑 盘 总 扇 区 数 、 保 留 扇 区 数 和 每 个 FAT 表 占 用 扇 区 数 , 可 以 从 旭 辑 盘 FAT32_ 
DBR 的 BPB 参数 中 获得 。 逻 辑 盘 总 扇 区 数 也 就 是 该 逮 辑 盘 所 对 应 分 区 的 总 扇 区 数 ,mod 表 
示 取 余数 。 

用 户 使 用 FAT32 文件 系统 对 逻辑 盘 进 行 格式 化 后 ,报告 的 总 容量 是 指数 据 区 减 去 剩余 
扇 区 后 的 容量 ,而 不 是 指 整个 逻辑 盘 的 容量 。 

簇 号 转换 成 逻辑 扁 区 号 公式 如 式 (5.7): 

逻辑 扇 区 号 一 保留 扇 区 数 十 每 个 FAT 表 占 用 扇 区 数 X 2 十 
( 簇 号 一 2) X 每 个 簇 的 扇 区 数 十 N 一 1 ¿5:73 

在 式 (5.7) 中 : 保留 扇 区 数 、 每 个 FAT # H H R bp 4° $É BJ 93 P< 3k Pr BE JA FAT32_ 
DBR 的 BPB 参数 中 获得 ; N 为 小 于 或 者 等 于 每 个 篮 的 扇 区 数 的 正 整 数 集合 ; 22, 

逻辑 扇 区 号 转换 成 秘 号 公式 如 式 (5. 8) : 

G =2 十 INT[ (逻辑 扇 区 号 一 保留 扇 区 数 一 每 个 FAT 表 占 用 扇 区 数 X 2) — 
每 个 簇 的 扇 区 数 ] (5. 8) 

在 式 (5. 8) 中 : INT 表示 取 整 ,逻辑 扇 区 号 宇 保留 扁 区 数 十 每 个 FAT 表 占 用 扇 区 数 X2 

计算 FATI 表 、FAT2 表 在 逻辑 盘 中 的 位 置 以 及 根 目录 开始 扇 区 号 ( 即 2 号 簇 开始 扇 区 
号 ) 在 逻辑 盘 中 位 置 公式 如 式 (5.9) 一 式 (5. 15) : 

FAT32_DBR MERKS = 0 6.9) 
保留 扇 区 数 = FATI 表 开 始 扇 区 号 一 FAT32_DBR 所 在 扇 区 号 (5. 10) 
FATI 表 结 束 扇 区 号 = 保留 扇 区 数 十 每 个 FAT 表 占 用 扇 区 数 一 1 (5.115 
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FAT2 表 开始 扇 区 号 = 保留 扇 区 数 十 每 个 FAT 表 占 用 扇 区 数 Ç5. 12) 
FAT2 表 结束 扇 区 号 = 保留 扇 区 数 十 每 个 FAT 表 占 用 扇 区 数 X2 一 1 (5.13) 
每 个 FAT 表 占 用 扇 区 数 = FAT2 表 开 始 扇 区 号 一 FAT1 表 开 始 扇 区 号 
一 根 目 录 开 始 扇 区 号 — FA T2 KF RAKI (5.14) 
根 目录 开始 扇 区 号 = RAKA + bj FAT 表 占 用 扇 区 数 X2 (5; 15) 
说 明 : ERG. DRG. 1D, AKE J ñ $h TF iZ H dR yi WJ DC. RE RI R Bi 
区 号 也 就 是 2 EB) JF K o 
例 5.3 在 例 5.2 中 ,从 FAT32_DBR 可 知 , 保 留 扇 区 数 为 5022 ,每 个 簇 的 扇 区 数 等 于 2, 
每 个 FAT 表 占 用 1585 个 扇 区 ,逻辑 盘 总 扇 区 数 为 413696。 请 回答 下 列 问题 : 
(1) 计算 FAT1 RA FAT2 表 在 丁 盘 中 的 开始 扇 区 号 和 结束 扇 区 号 。 
(2) 计算 丁 盘 格式 化 后 的 容量 , 即 在 资源 管理 器 通过 查看 J 盘 属 性 的 总 容量 。 
(3) 计算 2 号 簇 ( 即 丁 盘 根 目 录 开 始 簇 号 ) 所 对 应 丁 盘 的 逻辑 扇 区 号 。 
(4) 计算 8416 号 扇 区 所 对 应 盘 中 的 簇 号 。 
G) 由 于 丁 盘 每 个 艇 的 扇 区 数 为 2, 通 过 每 个 FAT 表 占 用 扇 区 数 , 计 算 丁 盘 可 以 表示 的 最 
大 簇 号 和 最 小 簇 号 。 
(6) 计算 丁 盘 可 以 表示 的 最 大 磁盘 空间 和 最 小 磁盘 空间 。 
解 : 
(1) 由 于 保留 扇 区 数 为 5022 ,而 每 个 FAT 表 占 用 1585 个 扇 区 
由 式 (5. 10) 和 式 (5. 11) 可 知 : 
FATI 表 开 始 扇 区 号 = 保留 扇 区 数 = 5022 
FATI RRK G = 保留 扇 区 数 十 每 个 FAT 表 占 用 扇 区 数 一 1 
= 5022 + 1585 — 1 = 6606 
由 式 (5. 12) 和 式 (5. 13) 可 知 : 
FAT2 表 开 始 扇 区 号 = 保留 扇 区 数 十 每 个 FAT 表 占 用 扇 区 数 
= 5022 + 1585 = 6607 
FAT2 表 结 束 扇 区 号 = 保留 扇 区 数 十 每 个 FAT 表 占 用 扇 区 数 X2 一 1 
= 5022 + 1585 X 2 — 1 = 8191 
所 以 ,FAT1 表 在 丁 盘 中 的 位 置 为 5022—6606 SK; 而 FAT2 表 在 丁 盘 中 的 位 置 为 6607— 
8191 FAK. 
(2) 由 式 (5.3) 可 知 : 
丁 盘 数据 区 占 扇 区 数 = 丁 盘 总 扇 区 数 一 (保留 扇 区 数 十 每 个 FAT 占用 扇 区 数 xX 2) 
= 413696 — (5022 + 1585 X 2) 
= 405504 


由 式 (5.5) 可 知 : 
剩余 扇 区 数 = mod(J 盘 数 据 区 占 扇 区 数 ,每 个 篮 的 扇 区 数 ) 
= mod(405504,2) = 0 
由 式 (5.6) 可 知 : 
J 盘 格 式 化 后 的 容量 二 (J 盘 数 据 区 占 扇 区 数 一 剩余 扇 区 数 ) X 512 字 节 
= (405504 — 0) X 512 字 节 
= 207 618 048 字 节 
= 198MB 


& 大 话 数据 恢复 


从 丁 盘 的 属性 可 知 ,J 盘 格 式 化 后 的 容量 为 198MB, 如 图 5.5 
所 示 。 
(3) 由 于 扇 区 数 / 簇 一 2, 所 以 ,N 一 人 1,2)}。 
"4 N=1 时 ,由 式 (5.7) 可 知 : 
逻辑 扇 区 号 = 保留 扇 区 数 十 每 个 FAT 表 占 用 扇 区 数 X 2 + 
( 簇 号 一 2) X 扇 区 数 / i + N—1 
= 5022 十 1585 X2 十 (2 一 2) X2 十 1 一 1 
= 5022 十 3170 十 0 十 0 Se 
= 8192 图 5.5 逻辑 盘 ] 的 属性 
当 N=2 时 ,由 式 (5.7) 可 知 ,人 逻辑 扇 区 号 ==8193; 
所 以 ,2 号 簇 所 对 应 的 扇 区 号 为 8192 和 8193, 共 计 2 MAK. 
(4) 由 式 (5.8) 可 知 : 
簇 号 = INT[( 逻 辑 扇 区 号 一 保留 扇 区 数 一 每 个 FAT 表 占 用 扇 区 数 x 2) 二 扇 区 数 / 簇 ] 十 2 
= INT[(8416 — 5022 — 1585 x 2) — 2] + 2 
= INT(224 + 2) +2 = 114 
即 8416 5A KATITIA 114. 
同 理 可 以 验证 ,8417 5 B) KRE ab 114. 
(5) HF JAHA FAT 表 占 1585 个 扇 区 ,而 每 个 扇 区 可 以 存储 128 个 簇 号 项 。 
丁 盘 的 FAT 表 可 以 存储 的 最 多 簇 号 数 二 1585X128 二 202880, 因 此 最 大 簇 号 为 202879; 
由 于 每 个 FAT 表 占 1585 个 扇 区 ,而 每 个 扇 区 可 以 存储 128 个 簇 号 项 。J] 盘 的 FAT 表 可 
以 表示 的 最 小 篮 号 为 最 后 一 个 扇 区 只 使 用 了 一 个 簇 号 项 ( 即 4 字 节 ), 所 以 ,J 盘 可 以 存储 的 最 
少 簇 号 数 二 (1585 一 1) X128 十 1 二 202753, 因 此 最 小 簇 号 为 202752 。 
(6) Hi T J 盘 的 最 大 簇 号 为 202879 ,而 FAT32 文件 系统 中 0 号 徐 和 1 号 簇 均 未 被 数据 区 
使 用 ,所 以 J 盘 簇 号 范围 为 2~~202879, 共 计 202878 个 簇 。 
最 大 磁盘 空间 = 202878 fk X 2 HK$ / fik >x 512 字 节 / Bl £ = 198.123MB 
由 于 丁 盘 的 最 小 复 号 为 202752 ,而 FAT32 文件 系统 中 0 号 徐 和 1 号 簇 均 未 被 数据 区 使 
用 ,所 以 J 盘 簇 号 范围 为 2~202752, 共 计 202751 个 簇 。 
最 小 磁盘 空间 = 202751 R X 2 AKA / fk >x 512 字 节 / 扇 区 = 197. 999MB 
因此 ,J 盘 可 以 表示 的 最 大 磁盘 空间 为 198. 123MB ,最 小 磁盘 空间 为 197. 999MB。 


5.3.5 FAT32 FSINFO 信息 扇 区 


FAT32 在 保留 扇 区 中 增加 了 一 个 FSINFO Bl X ,存储 于 逻辑 盘 的 1 号 扇 区 ,用 以 记录 文 
件 系统 中 空闲 簇 的 数量 以 及 下 一 个 可 用 簇 等 信息 , 供 操作 系统 参考 ,FSINFO 扇 区 结构 见 


表 5. 8 所 列 。 
表 5.8 FSINFO 信息 扇 区 的 结构 
字 节 偏 移 字 节 数 & x 
0X0000 4 扩展 引导 标志 “RRaA” 
0X0004 480 未 用 ,全 oo 


0X01E4 4 FSINFO 签名 标志 “rrAa” 
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续 表 
字 节 偏 移 字 节 数 & x 
0X01E8 4 空闲 簇 , 用 以 计算 该 逻辑 盘 可 用 空间 
0X01EC 4 F— +u HS GE: 该 值 不 一 定 正确 ) 
0X01F0 14 未 使 用 
0X01FE 4 标志 “55 AA” 


例 5.4 丁 盘 的 FSINFO 扇 区 信息 如 图 5.6 所 示 。 


Offset 0 12 34567 89AB CD E F 

OAFF0000 52 52 61 41 00 00 00 00-00 00 00 00 00 00 00 00 RRaA. 
= (£00) 

OAFFO1EQ 00 00 00 00 72 72 41 61-8A 46 02 00 02 00 00 00 

OAFFO1FO 00 00 00 00 00 00 00 00-00 00 00 00 00 00 55 AA 


图 5.6 逻辑 盘 的 FSINFO 属性 


从 图 5. 6 显示 的 信息 可 知 ,J 盘 的 下 一 个 可 用 簇 为 0X00000002, 即 2; 空闲 得 为 
0X0002468A, 即 149130, 由 此 可 以 计算 出 本 盘 的 可 用 空间 王 149130X 512 字 节 一 152709120B 一 
145MB; 从 丁 盘 的 属性 可 知 ,J 盘 的 可 用 空间 与 通过 FSINFO 扇 区 信息 计算 的 可 用 空间 相等 。 
注 : 有 时 从 该 扇 区 所 得 到 的 信息 不 一 定 准 确 , 但 并 不 影响 多 辑 盘 的 正常 使 用 ,该 扇 区 中 的 数据 
只 能 作为 一 种 参考 。 

通常 情况 下 ,在 逻辑 盘 的 7 号 扇 区 有 一 个 FSINFO 信息 备份 ,但 该 备份 与 1 号 扇 区 没有 进行 
同时 操作 。 因 此 ,该 扇 区 的 信息 不 一 定 总 是 正确 的 ,但 这 并 不 影响 FAT32 文件 系统 的 正常 使 用 。 


5.3.6 FAT 表 


在 FAT32 文件 系统 中 ,文件 ( 夹 ) 内 容 存 储 在 数据 区 ,并 以 簇 为 单位 进行 分 配 ; 而 FAT32 
文件 系统 的 文件 分 配 表 ( 简 称 FAT 表 ) 则 以 簇 号 的 形式 记录 着 FAT32 文件 系统 数据 区 的 使 
用 状况 。 

FAT 表 通 常 有 两 个 (一 般 称 为 FAT1 表 和 FAT2 表 ), 这 两 个 FAT 表 的 内 容 和 长 度 完 全 
相同 。 每 个 FAT 表 占 用 多 少 个 扇 区 取决 于 逻辑 盘 的 大 小 和 每 个 篮 的 扇 区 数 。 在 FAT 表 中 ， 
不 同 的 值 有 着 不 同 的 含义 , 表 5. 9 给 出 了 FAT 表 中 XX 号 簇 项 取 值 的 含义 。 


表 5.9 FAT 表 中 XX 号 簇 项 取 值 含 义 (十 六 进 制 ) 


XX 号 簇 项 
对 应 簇 号 项 的 含义 
取 值 取 值 在 FAT 中 的 存储 形式 
OFFFFFF8 F8 FF FF OF FAT 表 的 开始 标志 
00000000 00 00 00 00 未 分 配 的 簇 
已 分 配 的 艇 ,其 值 为 存储 文件 后 续 


00000003—0FFFFFFE 


03 00 00 00~FE FF FF OF 


W F— 3088 


0FFFFFF0 一 0OFFFFFF6 FO FF FF 0F-2F6 FF FF OF 系统 保留 
OFFFFFF7 F7 FF FP 0F Hik 
OFFFFFF8—0FFFFFFF F8 FF FF 0F—FF FF EF OF XRH RARI 


OFFFFFFF 


FF FF FF 0F 


文件 或 目录 结束 能 一 般 用 该 值 
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FAT 表 具 有 下 列 特性 : 

(1) 数据 区 对 应 簇 号 的 状态 保存 在 FAT 表 的 相应 位 置 ; 数据 区 每 个 能 号 在 FAT 表 中 的 
位 置 , 称 之 为 XX 号 簇 项 ,XX 号 簇 项 所 存储 的 内 容 称 之 为 XX 号 簇 项 值 ; XX 号 簇 项 值 占用 4 
字 节 ( 即 32 位 ) ,存储 形式 采用 小 头 位 序 。 

(2) 0 号 簇 项 和 1 号 簇 项 系统 保留 , 注 : 实际 上 是 不 存在 的 簇 号 。 

(3) FAT 表 以 OFFFFFF8( 存 储 形式 为 F8 FF FF OF) 开 头 , 即 0 号 簇 项 值 。 


别 为 FF FF FF FF 或 者 FF FF FF OF 或 者 FF FF FF 7F。 
(5) 由 于 FAT32 文件 系统 数据 区 是 从 2 号 簇 开始 ,2 号 簇 被 根 目录 占据 ; 2 号 簇 项 值 如 
果 是 OFFFFFFF ,说 明 根 目录 只 占据 1 个 簇 的 位 置 , 即 2 号 簇 ; 2 号 簇 项 值 如 果 不 是 
0FFFFFFF , 则 说 明 根 目录 占据 了 2 个 以 上 的 簇 号 。 
(6) 如 果 1 个 文件 ( 夹 ) 占 据 了 2 个 以 上 的 簇 号 ,在 FAT 表 中 ,该 文件 ( 夹 ) 所 占据 的 簇 号 


将 使 用 链表 的 形式 链接 。 


(7) 如 果 数 据 区 XX 号 簇 未 被 分 配 , 则 FAT KP XX 号 簇 项 值 为 0( 存 储 形式 为 00 00 00 00)。 

(8) 如 果 数 据 区 XX 号 簇 已 被 分 配 , 即 XX 号 簇 项 值 不 再 是 0, 如果 对 应 XX 号 艇 项 的 值 
是 OFFFFFFF( 存 储 形式 为 FF FF FF 0F) ,表示 XX 号 艇 为 某 文件 ( 夹 ) 的 最 后 一 个 艇 号 。 

(9) 如 果 数 据 区 XX 号 簇 已 被 分 配 , 即 XX 号 簇 项 值 不 再 是 0, 也 不 是 OFFFFFFF, 那 么 对 
应 XX 号 簇 项 值 为 某 文 件 ( 夹 ) 的 下 一 个 簇 号 。 

(10) 如 果 对 逻辑 盘 进 行 格式 化 时 ,发 现 有 坏 扇 区 , 则 该 扇 区 所 对 应 的 簇 号 在 FAT 表 中 内 
容 填 为 F7FFFFFF( 存 储 形式 为 FF FF FF F7), 

例 5.5 JÆ FAT KÄ 96 字 节 如 图 5.7 所 示 ( 注 : XX 号 簇 项 用 十 六 进 制 表示 )。 


00273C00 


00273C10 


00273C20 


00273C30 


00273C40 


00273C50 


00 号 簇 项 
F8 FF FF OF 
04 号 能 项 
FF FF FF OF 
08 号 簇 项 
FF FF FF OF 
0C 号 簇 项 
0D 00 00 00 
10 号 能 项 
11 00 00 00 
14 号 能 项 
FF FF FF OF 


01 号 能 项 
FF FF FF FF 
0 号 能 项 
FF FF FF OF 
09 号 能 项 
0A 00 00 00 
D ER 
OE 00 00 00 
11 5 
12 00 00 00 
巧 号 能 项 
16 00 00 00 


图 5.7 J 盘 的 FAT 表 前 96 字 节 ( 注 


J # FAT 表 前 96 字 节 说 明 如 下 。 


02 SiR 03 号 簇 项 

B7 D4 00 00 FF FF FF OF 
06 号 能 项 07 SAR 

07 00 00 00 FF FF FF OF 
0A 号 簇 项 OB 号 能 项 

OB 00 00 00 0C 00 00 00 
0E Ff OF 号 能 项 

OF 00 00 00 10 00 00 00 
12 FA 13 5 

13 00 00 00 14 00 00 00 
16 5i 175R 

17 00 00 00 18 00 00 00 

: 图 中 的 数据 均 为 十 六 进 制 ) 


(1) 0 号 簇 项 值 为 0XOFFFFFF8( 存 储 形式 为 F8 FF FF 0F) ,表示 FAT 表 的 开始 。 


(2) 1 号 簇 项 值 为 0XFFFFFFFF( 存 储 形式 为 FF FF FF FF), 


G) 2 号 簇 项 值 为 0X0000D4B7 (存储 形式 为 B7 D4 00 00), 即 根 目 录 的 下 一 个 簇 号 


为 0X0000D4B7。 


(4) 3 号 簇 项 .4 号 簇 项 ,5 号 簇 项 和 8 号 簇 项 值 均 为 0XOFFFFFFF( 存 储 形式 为 FF FF FF 0F); 
表示 这 4 个 簇 分 别 被 小 于 或 者 等 于 1 个 簇 的 4 个 文件 ( 夹 ) 占 用 。 
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(5) 6 号 簇 项 值 为 0X07( 存 储 形 式 为 07 00 00 00); RRETARA 0X07.7 号 入 
项 值 为 0X0FFFFFFF( 存 储 形式 为 FF FF FF 0F) ,表示 某 文件 ( 夹 ) 已 结束 , 即 某 文件 ( 夹 ) 占 
用 2 个 徐 , 即 6 号 艇 和 7 号 艇 ,6 SIRAT 号 簇 在 FAT 表 中 以 线性 链表 的 形式 链接 。 

(6) 0X09—0X14 号 簇 项 为 某 一 文件 ( 夹 ) 的 分 配 表 , 即 该 文件 ( 夹 ) 共 占用 了 0X0C 个 簇 
(BB 12 4488); 该 文件 ( 夹 ) 的 开始 簇 号 为 0X09( 即 9 号 簇 ), 而 结束 簇 号 为 0X14( 即 20 FE), 
0X09 号 簇 项 值 是 0000000A , 即 下 一 个 簇 是 0X0A 号 簇 ( 即 10 号 簇 ); 而 在 0X0A 号 簇 ( 即 10 
号 簇 ) 值 是 0000000B, 即 下 一 个 簇 是 0X0B 号 簇 ( 即 11 号 簇 ) ,以 此 类 推 ,直到 0X14 号 簇 项 ( 即 
20 号 簇 ) 值 是 0X0OFFFFFFF( 存 储 形式 为 FF FF FF 0F) ,表示 该 文件 ( 夹 ) 已 经 结束 ,分 配 链表 
如 图 5.8 所 示 ( 注 : 图 5. 8 中 的 数据 均 为 十 六 进 制 )。 如 果 该 文件 ( 夹 ) 被 彻底 删除 ,该 链表 将 
被 填充 为 00000000 ,表示 这 12 个 簇 号 未 被 分 配 。 
0958 0A5 831 0B5 8 0C 58 ops ikm 
0000000A [—=] 0000000B —=| 0000000C =| 0000000D =| 000000E 


OE IRNI 0F 8 1018811 iR 12 号 簇 项 
| 0000000F j| 00000010 上 一 | 00000011 广 一 | 00000012 H— 00000013 


13 号 禾 项 1451821 
L= 00000014 | 0FFFFFFF 


5.8 某 文 件 或 子 目 录 ( 文 件 夹 ) 的 文件 分 配 链表 (图 中 数据 均 为 十 六 进 制 ) 


计算 簇 号 项 在 FAT 表 中 的 扇 区 号 如 式 (5. 16): 


簇 号 项 在 FAT 表 中 的 扇 区 号 = INT( 簇 号 项 /128) 十 1 (5.16) 
计算 簇 号 项 在 FAT 表 中 的 扇 区 偏 移 和 扇 区 号 如 式 (5. 17) 一 式 (5. 19): 
簇 号 项 在 FAT 表 中 的 扇 区 偏 移 = 4 x MOD( 簇 号 项 ,128) 十 N 一 1 (5.17) 
符号 项 在 逻辑 盘 中 的 扇 区 号 (针对 FATI K) = 保留 扇 区 数 十 INT( 簇 号 项 /128) 
(5.18) 
徐 号 项 在 逻辑 盘 中 的 扇 区 号 (针对 FAT2 K) = 保留 扇 区 数 十 每 个 FAT 占 扇 区 数 十 
INT( 簇 号 项 /128) (5. 19) 


$: 在 式 (5.16) 一 式 (5. 19) 中 ,INT 表示 取 整 ,MOD 表示 取 余 数 , N 为 小 于 或 者 等 于 4 
的 正 整 数 集合 , 即 N 一 {1,2,3,4}。 

由 于 FAT32 文件 系统 有 两 个 FAT 表 , 式 (5. 18) 给 出 了 簇 号 项 在 逻辑 盘 中 的 扇 区 号 ( 针 
X} FATI 表 ), 式 (5.19) 给 出 了 簇 号 项 在 逻辑 盘 中 的 扇 区 号 (针对 FAT2 K). 

例 5.6 在 例 5.4 中 ,计算 518 号 簇 项 分 别 在 J 盘 FAT1l 表 和 FAT2 表 中 的 位 置 。 

解 : 
由 式 (5.16) 可 知 : 
簇 号 项 在 FAT 表 的 扇 区 号 王 INT( 簇 号 项 /128) 十 1 一 INT(518/128) 十 1 一 5 
由 式 (5. 17) 可 知 : 

簇 号 项 在 FAT 表 中 的 扇 区 偏 移 二 4XMOD( 簇 号 项 ,128) 十 N 一 1 一 {24,25,26,27} 

即 518 号 簇 项 在 FAT 表 的 第 5 Bj X , 扇 区 偏 移 为 24 一 27( 即 0X18—0X1B) 。 将 光标 移动 
到 FAT 表 的 第 5 扇 区 偏 移 为 24 一 27( 即 0QX18 一 0X1B) 处 , 即 可 找到 第 518 簇 号 项 的 位 置 , 注 : 
FAT 表 是 指 FATI 表 和 FAT2 表 。 


@ 大 话 数据 恢复 


从 丁 盘 的 FAT32_DBR 可 知 ,保留 扇 区 数 为 5022, 每 个 FAT 表 占 用 扇 区 数 为 1585; 
由 式 (5. 18) 可 知 : 

518 SPE J 盘 的 逻辑 扇 区 号 (针对 FATI W= 保留 扇 区 数 十 INT( 簇 号 项 /128) 
= 5022 + INT(518/128) = 5026 


H5K(5.19)1[ 31: 
518 FIRE J 盘 的 逻辑 扇 区 号 (针对 FAT? K) 一 保留 扇 区 数 十 FAT 表 所 占 扇 区 数 十 
INT(FAT 簇 号 /128) 
二 5022 十 1585 十 INT(518/128) = 6611 

所 以 ,518 号 得 项 在 丁 盘 的 逻辑 扇 区 号 为 5026( 针 对 FAT1 表 ) 和 6611( 针 对 FAT2 表 ) ,而 扇 
区 偏 移 地 址 均 为 24 一 27( 即 0X18—0X1B) 4, 

注 : Æ WinHex 中 ,可 以 通过 ”菜单 栏 一 位 置 一 Go To FAT Entry…… ”, 在 弹出 的 窗口 中 
输入 FAT 表 项 的 值 ( 即 簇 号 值 ), 即 可 将 光标 移动 到 FAT 表 项 处 ,但 只 能 将 光标 移动 到 FAT1 
表 项 处 ,如 果 要 对 FAT 表 进行 操作 ,还 必须 对 FAT2 表 进 行 操作 ,这 一 点 要 特别 注意 。 


5.3.7 FAT32 目录 项 


FAT32 文件 系统 目录 项 按 用 途 可 以 划分 为 5 种 , 即 卷 标 ( 注 : 有 的 多 辑 盘 没有 卷 标 )、 短 
文件 ( 夹 ) 名 ,长 文件 ( 夹 ) 名 、“. "目录 项 和 *.. "目录 项 。 目 录 项 以 32 字 节 为 分 配 单位 , 卷 标 、 短 
文件 ( 夹 ) 名 、“. ”目录 项 和 "“.. ”目录 项 长 度 是 32 字 节 ,而 长 文件 ( 夹 ) 名 的 长 度 则 是 32 字 节 的 
倍数 。 


1. 卷 标 


卷 标 是 迎 辑 盘 的 一 个 标志 ,是 用 户 在 逻辑 盘 格 式 化 前 直接 输入 ; 或 者 在 资源 管理 器 中 通 
过 重 命名 的 方式 添加 。 卷 标 存储 在 逻辑 盘 根 目录 中 ,其 属性 为 “08”, 卷 标 在 “我 的 电脑 ”或 “ 资 
源 管理 器 ”逻辑 盘 的 盘 符 前 会 显示 出 来 。 如 果 本 地 亡 辑 盘 没 有 卷 标 ,在 “我 的 电脑 "或 “资源 管 
理 器 "逻辑 盘 的 盘 符 前 会 显示 "本 地 磁盘 ”; U 盘 或 移动 硬盘 没有 卷 标 ,在 “我 的 电脑 "或 “资源 
管理 器 ”"U 盘 或 移动 硬盘 的 盘 符 前 会 显示 “可 移动 磁盘 ”。 


2. 短文 件 ( 夹 ) 名 


短文 件 ( 夹 ) 名 是 指 文件 名 的 命名 规则 是 8. 3 格式 , 即 短文 件 ( 夹 ) 名 由 主 文件 名 和 扩展 名 
两 部 分 组 成 , 主 文件 名 的 长 度 为 1 一 8 个 字符 ,而 扩展 名 的 长 度 为 0 一 3 个 字符 。 主 文件 名 和 扩 
展 名 可 以 使 用 的 字符 为 52 个 大 小 英文 字母 ,0 一 9 这 十 个 数字 , 除 “ 八 : * 9" 去 二 |” 外 的 其 他 专 
用 符号 。 每 个 目录 项 的 长 度 为 32 字 节 。 主 文件 名 不 足 8 个 字符 ,扩展 名 不 足 3 个 字符 时 用 空 
格 填充 。 短 文件 ( 夹 ) 名 具体 的 定义 见 表 5. 10 所 列 。 

说 明 : 

(1) 主 文件 名 与 扩展 名 : 偏 移 地 址 为 0X00 一 0X0A, 对 于 8.3 格式 的 短文 件 名 ,将 文件 名 
分 为 两 部 分 存储 , 即 主 文件 名 和 扩展 名 。 偏 移 地 址 0X00 一 0X07 字 节 存储 主 文件 名 ; 偏 移 地 
址 0X08 一 0XOA 存储 扩展 名 ; 不 存储 主 文件 名 与 扩展 名 之 间 的 “. ”。 主 文件 名 不 足 8 个 字符 、 
扩展 名 不 足 3 个 字符 则 以 空格 (ASCII 码 值 为 0X20) 填 充 。 

偏 移 地 址 0X00 处 的 取 值 若 为 0X00 ,表示 该 目录 项 为 空 ,在 资源 管理 器 中 显示 的 目录 到 
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此 结束 ; 若 为 0XE5 ,表示 目录 项 曾经 被 使 用 ,但 对 应 的 文件 ( 夹 ) 已 被 删除 。 
表 5.10 FAT32 短文 件 目录 项 32 字 节 的 表示 定义 


字 节 偏 移 (十 六 进 制 ) 字 节 数 =” X% 
00—07 8 主 文件 ( 夹 ) 名 ,以 大 写字 母 的 形式 存储 
08 一 0A 3 扩展 名 ,以 大 写字 母 的 形式 存储 

0B 1 属性 , 见 说 明 (2) 

0C 1 文件 ( 夹 ) 名 大 /小 字母 显示 标志 , 见 说 明 (3) 

oD 1 创建 时 间 ,精确 到 10ms 的 值 
0E 一 OF 2 创建 时 间 ,包括 时 、 分 、 秒 
10—11 2 创建 日 期 ,包括 时 、 分 、 秒 
12—13 š 最 后 访问 日 期 ,包括 年 月 .日 
14—15 2 文件 ( 夹 ) 开 始 簇 号 的 高 16 位 
16~17 2 最 近 修 改 时 间 , 包 括 时 ,分 、 秒 
18~19 2 最 近 修 改 日 期 ,包括 年 、 月 日 
1A~1B 文件 ( 夹 ) 开 始 簇 号 的 低 16 位 
1C~1F 4 文件 实际 大 小 ,单位 : 字 节 


(2) 属性 : 偏 移 地 址 为 0XOB, 该 目录 项 描述 文件 或 文件 夹 的 属性 见 表 5. 11 所 列 。 


表 5.11 文件 或 文件 夹 属性 描述 
偏 移 地 址 0X0B 
二 进 制 位 bit; bits bits bit, bit; bit; biti bit 
二 进 制 值 0 0 1 1 1 J š 1 
& x 保留 保留 存档 子 目录 卷 标 系统 隐藏 只 读 


从 表 5. 11 可 知 ,该 字 节 的 最 高 两 位 ( 即 bit, 和 bit ) 保 留 、 未 用 ,bits 一 bit 分 别 是 存档 位 、 
子 目 录 位 、 卷 标 位 、 系 统 位 、 隐 藏 位 和 只 读 位 。 对 应 位 为 “1” 时 表示 真 ,为 “0” 时 表示 假 ; 属性 值 
也 可 以 进行 组 合 。 

例如 : 如 果 某 文件 的 属性 值 为 0X27( 对 应 二 进 制 数 为 0010 0111), 则 表示 该 文件 属性 为 
存档 系统、 隐藏 和 只 读 。 

(3) 文件 ( 夹 ) 名 大 /小 字母 显示 标志 : 偏 移 地 址 为 0X0C, 该 目录 项 描述 文件 ( 夹 ) 名 在 资 
源 管理 器 中 是 以 大 写字 母 还 是 以 小 写字 母 显 示 。 在 该 字 节 中 只 使 用 了 两 位 , 即 bit. 和 bits ,对 
应 位 为 “1” 时 表示 真 ( 即 以 小 写字 母 显示 ), 为 “0” 时 表示 假 ( 即 以 大 写字 母 显示 ); 其 他 位 的 值 
可 以 是 “0”, 也 可 以 是 “1”, 详 见 表 5. 12 所 列 。 
表 5.12 文件 ( 夹 ) 名 大 /小 写 显示 标志 


偏 移 地 址 0X0C 
二 进 制 位 bit; bits bit; bit, bit; bit; bit, bit, 
二 进 制 值 0 0 0 f i 0 0 0 
Ë 扩展 名 主 文件 ( 夹 ) 名 
Aa |AN | 保 镶 | 保留 | 以 小 写字 母 显示 | 以 小 写字 母 显示 | 保 四 | 保留 | 保 多 


& 大 话 数 据 恢复 


说 明 : 

Mbi =0 H bit =1; 主 文件 名 以 小 写字 母 显示 ,而 扩展 名 则 以 大 写字 母 显示 ; 

Mbi =0 H bits 二 0: 主 文件 名 和 扩展 名 均 以 大 写字 母 显示 ; 

名 bit 王 1 H bits 二 0: 主 文件 名 以 大 写字 母 显示 ,而 扩展 名 则 以 小 写字 母 显示 ; 

外 bit 王 1 H bits 二 1: 主 文件 名 和 扩展 名 均 以 小 写字 母 显示 。 

(4) 创建 时 间 (10 毫秒 ) : 偏 移 地 址 为 0X0D, 以 10 毫秒 为 单位 。 

(5) 创建 时 间 ( 时 : 分 : 秒 ) : 偏 移 地 址 为 0XOE 一 0XOF ,这 两 个 字 节 共 16 位 被 划分 成 3 个 
部 分 ,其 含义 见 表 5. 13 所 列 。 


表 5.13 文件 创建 时 间 


偏 移 地 址 0X0F OXOE 

二 进 制 位 “| bits | biti, | bitis | bit, | bit | bitio | bit, | bits | bit, | bits | bits | bit, | bit, | bit, | bit, | bit; 
含义 时 分 秒 

说 明 : 


bit 一 bit 表示 秒 , 以 2 秒 为 单位 ,有 效 值 为 0 一 29 ,可 以 表示 0 一 58 秒 ; 

bito ~bits 表示 分 ,有 效 值 为 0 一 59, 可 以 表示 0 一 59 分 ; 

bitis ~bitn 表示 时 ,有 效 值 为 0 一 23 ,可 以 表示 0 一 23 时 ; 

(6) 创建 日 期 : 偏 移 地 址 为 0X10 一 0X11, 这 两 个 字 节 共 16 位 被 划分 成 3 个 部 分 ,其 含义 
见 表 5. 14 所 列 。 


表 5.14 文件 创建 日 期 


偏 移 地 址 0X11 0X10 
二 进 制 位 “|bits | bit | bitis | bit, | bit | bitio | bit, | bits | bit; | bits | bits | bit, | bit, | bit, | bit, | bit, 
含义 年 月 日 
说 明 : 
bit 一 bit。 表示 日 ,有 效 值 与 对 应 的 月 份 有 关 , 有 效 值 分 别 为 : 2 月 份 为 1 一 28( 不 浆 月 ) 或 
1—29(BJJ).1.3.5.7.8.10 和 12 月 份 为 1 一 31,4.6.9 和 11 月 份 为 1 一 30; 


bits 一 bits 表示 月 ,有 效 值 为 1 一 12; 

bitis 一 bits 表示 年 ,有 效 值 为 0 一 127, 真 正 的 年 份 为 该 值 再 加 上 1980, 即 表示 年 份 为 
1980 一 2107 年 。 

(7) 最 后 访问 日 期 : 偏 移 地 址 为 0X12 一 0X13, 其 描述 与 创建 日 期 相同 , 见 表 5. 14 所 列 。 

(8) 文件 ( 子 目 录 ) 开 始 簇 号 : 偏 移 地 址 为 0X14 一 0X15 存放 文件 (目录 ) 开 始 簇 号 高 16 
位 , 偏 移 地 址 为 0X1A 一 0X1B 存放 文件 (目录 ) 开 始 簇 号 低 16 位 。 

开始 簇 号 = 二 [OX15][OX14J[OX1BJLOX1A] 

(9) 最 后 修改 时 间 : 偏 移 地 址 为 0X16 一 0X17 ,其 描述 与 创建 时 间 相 同 , 见 表 5. 13 所 列 。 

(10) 最 后 修改 日 期 : 偏 移 地 址 为 0X18 一 0X19 ,其 描述 与 创建 日 期 相同 , 见 表 5. 14 所 列 。 

AD 文件 实际 大 小 : 偏 移 地 址 为 0X1C~~0X1F ,存储 形式 为 小 头 位 序 ,单位 : 字 节 ; 即 文 
件 实 际 大 小 王 [LOX1F]LOX1E]LoX1D][LoX1C] 字 节 。 注 : 子 目 录 ( 文 件 夹 )、“. ”..” 和 卷 标 该 
值 为 0。 
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计算 文件 所 占 复数 ,文件 结束 艇 号 和 占用 空间 如 式 (5. 20) 一 式 (5. 22): 


文件 所 占 复数 = ROUNDUP( 文 件 实际 大 小 /( 每 个 簇 的 扇 区 数 X 512) ,0) (5. 20) 

文件 结束 入 号 = 文件 开始 簇 号 十 文件 所 占 簇 数 一 1 QE: 假设 文件 内 容 是 连续 存储 的 ) 
(5.21) 

文件 占用 空间 = 文件 所 占 簇 数 x hho i BJ e x 512 (5.22) 


$: 在 式 (5.20) 中 ,ROUNDUP 为 向 上 伟人 函数 ,每 个 扇 区 等 于 512 FH, bk" BE BJ) K 
数 可 以 从 FAT32_DBR 中 的 BPB 参数 中 获得 。 

例 5.7 丁 盘 根 目 录 下 某 文件 目录 项 的 存储 形式 如 图 5.9 所 示 ( 注 : 图 5. 9 方 框 中 的 部 
分 ) ,请 回答 下 列 问 题 : 

(1) 写 出 该 文件 名 在 J 盘 根 目录 中 的 存储 形式 ,在 资源 管理 器 中 查看 到 的 文件 名 。 

(2) 该 文件 目录 项 偏 移 0X0B 的 值 是 0X20, 该 值 描 述 的 是 什么 类 型 的 文件 ? 

(3) 写 出 该 文件 创建 的 时 间 和 日 期 。 

(4) 写 出 该 文件 修改 的 时 间 和 日 期 。 

(5) 写 出 该 文件 内 容 的 开始 簇 号 和 实际 大 小 。 

(6) 计算 该 文件 所 占 簇 数 、 结 束 簇 号 和 占用 空间 ( 注 : 该 文件 内 容 是 连续 存储 ) 。 

(7) 画 出 该 文件 FAT 表 的 链表 结构 图 。 

(8) 计算 出 该 文件 开始 复 号 项 和 结束 艇 号 项 分 别 在 FATI KA FAT2 表 中 的 位 置 。 

(9) 如 果 将 该 文件 删除 并 清空 回收 站 ,该 文件 目录 项 .FAT1 表 和 FAT2 表 有 何 变化 ? 


Offset |0 1 2 3 4 S 6 7 869ABcDE FE 
FEE |41 3030:20: 20:2020 20V S4588 B20 1876822 Ac ES = +h "1 rA 
|| anoc otvisibie arie space: | 00400370 8 ölrE lón 
Custer No: 0400380 [41 30 3 20 20 20 20 加 44 AF 43 20 加 EE 
Gemei Y 0400390 [73 46 ac 46 00 00 88 52 SE 4367 D300 4004 00 sFIF. IROCI0 e. 
ho4opah0 41 30 31 20 20 20 20 20 S+ 88 54 20 16 69 22 4C A01 PT IT 
一 ma | 00400380 73 46 73 46 00 00 52 50 99 43 97 D4 52 00 00 00 sFsF..RPICIÓR.. 
“t 1 


Ofset 4003FF =0] Beck 4003FF - 4003FF | Size: 


图 5.9 J 盘 根 目 录 下 某 文 件 名 项 的 存储 形式 


解 : 

(1) 该 文件 名 在 J 盘 根 目录 中 的 存储 形式 为 *41 30 31 20 20 20 20 20 44 4F 43”, 所 以 ,该 
文件 的 名 称 为 *A01. DOC”; 文件 目录 项 偏 移 0XOC 的 值 为 0X18, 在 资源 管理 器 中 主 文件 名 和 
扩展 名 均 以 小 写字 母 显示 , 即 用 户 查 看 到 的 文件 名 称 为 “a01. doc”. 

(2) 由 于 文件 目录 项 偏 移 0X0B 的 值 是 0X20, 该 值 描 述 的 是 存档 文件 。 

(3) 文件 目录 项 偏 移 oXoD.0XoE 和 0XOF 的 值 分 别 为 0X69、0X22 和 X04C。 

由 于 偏 移 地 址 0X0D 的 值 为 0X69, 等 于 十 进 制 数 的 105 ,表示 1050 毫秒 , 即 1.050 秒 。 

偏 移 地 址 LOXOE] 王 0X22,[OXOF] 王 0X4C, 共 16 位 被 划分 成 3 个 部 分 , 见 表 5. 15 所 列 。 

表 5.15 文件 创建 时 间 

偏 移 地 址 OXOF OXOE 

十 六 进 制 4C 22 

二 进 制 位 | bits | bita | bitis | biti | bit | bitio | bits | bits | bit; | bits | bits | bit, | bit, | bit, | bit, | bit, 
ZM |o | 13 o o 1111101) 0109091 0] 1] 0) ojojo 
十 进 制 9 2 
含义 时 分 秒 

表示 的 时 间 9 4 


@ 大 话 数据 恢复 


注 : 由 于 偏 移 地 址 0XOE 值 的 Bit 一 Bit 表示 的 是 秒 ,以 2 秒 为 单位 ; 而 偏 移 地 址 0X0D 
值 也 是 表示 秒 , 单 位 为 10 毫秒 , 值 0X69 表示 1050 毫秒 ( 即 1. 050 秒 ) 。 所 以 ,a01. doc 文件 的 


创建 时 间 为 9:33:05 秒 。 
偏 移 地 址 [0X10] 二 0X73,LOX11] 二 0X46, 这 两 个 字 节 共 16 位 被 划分 成 3 个 部 分 , 见 表 5. 16 


所 列 。 所 以 ,a01. doc 文件 的 创建 日 期 为 2015 年 3 月 19 日 。 
表 5.16 文件 创建 日 期 


偏 移 地 址 0X11 0X10 
十 六 进 制 46 73 
二 进 制 位 “| bitis | bita | bitis | bitiz | bitn | bitio | bits | bite | bit; | bits | bits | bit, | bits | bitz | biti | bitə 
二 进 制 ©aa |o |© | ó | 1 iloi 1 10% | w | üa 1 
十 进 制 35 19 
含义 年 月 H 
表示 的 日 期 1980 十 35 一 2015 3 19 


(4) 偏 移 地 址 [0X16] 二 0X88,[OX17] 二 0X52, 这 两 个 字 节 共 16 位 被 划分 成 3 个 部 分 , 见 
表 5.17 所 列 。 所 以 ,a01. doc 文件 的 最 近 修 改 时 间 为 10 : 20 : 16。 


表 5.17 文件 最 近 修 改 时 间 


偏 移 地 址 0X17 0X16 
十 六 进 制 52 88 

二 进 制 位 “| biti; | bit | bitis | bitiz | bit | bity | bit | bits | bit, | bits | bits | bit, | bit, | bit, | bit, | bit; 
二 进 制 0 1 0 1 0 | 0 1 0 | 0|010 1 0 |010 
十 进 制 10 20 8 

含义 时 分 秒 
表示 的 时 间 10 20 16 


偏 移 地 址 [0X18] 二 0X5E, [OX19] 二 0X43, 这 两 个 字 节 共 16 位 被 划分 成 3 个 部 分 , 见 
K 5. 18 所 列 。 所 以 ,a01. doc 文件 最 近 修改 日 期 为 2013 年 10 月 30 日 。 


表 5.18 文件 最 近 修改 日 期 


偏 移 地 址 0X19 0X18 
十 六 进 制 43 5E 
二 进 制 位 “| biti | bita | bitis | bitiz | bitn | bib。 | bitə | bits | bit; | bits | bits | bit | bits | bit, | bit | bit; 
二 进 制 0 1 0o0°0|o|o|o 1 1 |ð 1|o|1 1 1 1 0 
十 进 制 33 10 30 
& x 年 月 H 
表示 的 日 期 1980 十 33 一 2013 10 30 
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(5) 由 于 文件 目录 项 偏 移 LoOX14] 二 0X00、LOX15] 二 0X00、LOX1A]= 二 0X87、[L0OX1B]= 
0XD3, 所 以 , a01. doc 文件 内 容 开 始 簇 号 ==[0OX15][OX14][oOX1BJLOX1A]= 二 0X0000D387( 即 
54151) 。 

文件 目录 项 偏 移 0X1C—0X1F 的 值 分 别 为 0X00.0X40.0X04 和 0X00, 所 以 a01. doc 文件 
实际 大 小 二 [OX1FJ[OX1EJLOX1DJ[OX1C] 二 0X00044000, 即 278528 字 节 。 

(6) 由 于 a01. doc 文件 内 容 在 丁 盘 是 连续 存储 ,而 丁 盘 每 个 徐 的 扇 区 数 为 2, 每 个 扇 区 等 
于 512 字 节 ,由 式 (5. 20) 可 知 : 

a01. doc 文件 所 占 簇 数 = ROUNDUP( 文 件 实际 大 小 /( 每 个 簇 的 扇 区 数 X 512) ,0) 

= ROUNDUP(278528/(2 X 512)) = 272 


式 (5. 21) 可 知 : 
. doc 文件 结束 艇 号 = 文件 开始 簇 号 十 文件 所 占 簇 数 一 1 = 54151 十 272 一 1 = 54422 
RG. 22) 可 知 ， 
a01. doc 文件 占用 空间 = 文件 所 占 簇 数 x 每 个 复 的 扇 区 数 X 512 
= 272 X 2 X 512 = 278528 字 节 

(7) 由 于 a01. doc 文件 内 容 是 连续 存储 ,开始 簇 号 为 54151( 即 0XD387) , #8 IR IR 5 >J 
54422( 即 0XD496) ,所 以 ,a01. doc 文件 分 配 表 的 链表 结构 图 如 图 5. 10 所 示 ( 注 : 图 5. 10 中 的 
数据 均 为 十 六 进 制 ) 。 


D387 号 艇 项 — D388 号 禾 项 — D38958 — ...... D49554 D4965 P 


0000D388 —= 0000D389 = pooopssa es ~|o000pso6 IOFFFFFFF 


5.10 ”a01. doc 文 件 的 FAT 表 


(8) 从 J 盘 FAT32_DBR 可 知 , 保 留 扇 区 数 等 于 5022, 每 个 FAT 表 占 用 扇 区 数 为 1585; 
由 于 a01. doc 文件 内 容 开 始 簇 号 为 54151, 由 式 (5. 18) 和 式 (5. 19) 可 知 : 
54151 号 簇 项 在 J 盘 的 逻辑 扁 区 号 (针对 FAT1l 表 )= 保留 扇 区 数 十 INT( 簇 号 项 /128) 
一 5022 十 INT(54151/128) 一 5445 
54151 号 篮 项 在 丁 盘 的 逻辑 扇 区 号 (针对 FAT2 表 )= 保留 扇 区 数 十 每 个 FAT 表 占 扇 区 数 十 
INT(#& ji /128) 
= 5022 + 1585 + INT(54151/128) 
= 7030 


1 


a0 


由 式 (5.17) 可 知 : 
54151 SME FAT 表 的 扇 区 偏 移 = 4 X MOD( 簇 号 项 ,128) 十 N 一 1 
= 4 X MOD(54151,128) + N—1= {28,29,30,31} 

所 以 ,54151 号 簇 项 在 FAT1 表 的 位 置 为 5445 号 扇 区 , 扇 区 偏 移 为 28 一 31( 即 0X1C 一 
0X1F); 54151 号 艇 项 在 FAT2 表 的 位 置 为 7030 号 扇 区 , 扇 区 偏 移 为 28 一 31( 即 0X1C — 
OX1F), 

同 理 , 可 以 计算 54422 号 簇 项 在 FATI 表 的 位 置 为 5447 号 扇 区 , 扇 区 偏 移 为 88 一 91( 即 
0X58—0X5B); 54422 号 簇 项 在 FAT 2 表 的 位 置 为 7032 号 扇 区 , 扇 区 偏 移 为 88 一 91( 即 0X58 一 
0X5B), 

(9) 如 果 将 a01. doc 文件 删除 并 清空 回收 站 ,目录 项 如 图 5. 11 所 示 , 即 a01. doc 目录 项 首 
字 节 的 ASCI 码 由 0X41 变 为 0XE5。 


& 大 话 数据 恢复 


Offset 01234567 8 9ABCDEF 
00400380 E5 30 31 20 20 20 20 20 44 4F 43 20 18 69 22 4C ?1 DOC .i”L 
00400390 73 46 74 46 00 00 88 52 5E 43 87 D3 00 40 04 00 sFtF..JE CUE @. 


图 5.11 删除 J 盘 根 目 录 下 al. doc 文件 后 文件 名 目录 项 的 存储 形式 


而 在 FAT1 表 和 FAT2 表 从 54151 号 簇 项 至 54422 号 簇 项 的 链表 值 被 填充 为 “000 
00000”, 即 在 丁 盘 位 置 为 5445 号 扇 区 ( 即 在 FATI 表 的 位 置 ) 偏 移 28( 即 0X1C) 至 5447 5 
区 ( 即 在 FATI1 表 的 位 置 ) 偏 移 91( 即 0X5B) 的 值 被 填充 为 “00”; 而 J 盘 位 置 为 7030 号 扇 区 
( 即 在 FAT2 表 的 位 置 ) 偏 移 28( 即 0X1C) 至 7032 扇 区 ( 即 在 FAT2 表 的 位 置 ) 偏 移 91( 即 
0X5B) 的 值 也 被 填充 为 “00”; 文件 内 容 即 完好 无 损 地 保存 着 。 


3. 长 文件 ( 夹 ) 名 


FAT32 一 个 重要 的 特点 是 支持 长 文件 名 。 为 了 兼容 低 版 本 的 DOS 系统 或 程序 能 正确 读 
取 长 文件 名 文件 ,系统 会 自动 为 所 有 长 文件 名 文件 创建 一 个 对 应 的 短文 件 名 ,使 文件 内 容 既 可 
以 用 长 文件 名 寻 址 ,也 可 以 用 短文 件 名 寻 址 。 不 支持 长 文件 名 的 DOS 系统 或 程序 会 将 长 文件 
名 忽略 ,认为 是 不 合法 的 文件 名 字段 ,而 支持 长 文件 名 的 操作 系统 或 程序 则 以 长 文件 名 来 对 文 
件 内 容 进行 存 取 、 编 辑 等 操作 ,并 隐藏 其 短文 件 名 。 当 用 户 对 文件 ( 夹 ) 进 行 命名 时 ,如 果 出 现 
下 列 情况 之 一 或 者 是 3 种 情况 之 间 的 相互 组 合 ,在 目录 中 将 会 存储 两 个 文件 名 ,一 个 以 长 文件 
名 的 形式 存储 ,而 另 一 个 则 以 短文 件 名 的 形式 存储 。 

【情况 11 在 文件 ( 夹 ) 名 中 同时 包括 大 、 小 写 英文 字母 ; 

【情况 2] 以 汉字 作为 文件 ( 夹 ) 名 ; 

【情况 3】 主 文件 ( 夹 ) 名 的 长 度 超过 8 个 字符 或 扩展 名 的 长 度 超过 3 个 字符 。 

当 创 建 一 个 长 文件 名 的 文件 后 ,系统 会 在 长 文件 之 后 自动 生成 一 个 相应 的 短文 件 名 目录 
项 ,短文 件 命名 规则 一 般 如 下 : 

(1) 取 长 文件 名 的 前 6 个 字符 加 上 * 一 1 作为 对 应 的 短文 件 名 ,扩展 名 不 变 。 

(2) 如 果 已 存在 这 个 文件 名 , 则 符号 “一 ”后 的 数字 递增 ,直到 5 。 

(3) 如 果 文 件 名 中 “一 ”后 面 的 数字 达到 5, 则 短文 件 名 只 使 用 长 文件 名 的 前 两 个 字母 。 通 
过 数学 操纵 长 文件 名 的 剩余 字母 生成 短文 件 名 的 后 4 个 字母 .然后 加 后 级 “一 1” 直 到 最 后 (如 
果 有 必要 ,或 是 其 他 数字 以 避免 重复 的 文件 名 ) 。 

(4) 如 果 存 在 老 操 作 系 统 或 程序 无 法 读 取 的 字符 , 换 以 ””。 

长 文件 名 的 实现 有 赖 于 目录 项 偏 移 为 0X0B 的 属性 字 节 , 当 该 字 节 的 属性 值 为 0XOF( 即 
只 读 、 隐 藏 、 系 统 、 卷 标 属 性 的 组 合 ,0XOF 王 0X01 十 0X02 十 X04 十 X08) ,DOS 或 WIN32 会 认为 
其 不 合法 而 忽略 其 存在 。Windows 9X 或 Windows 2000、Windows XP 通常 支持 不 超过 255 
个 字符 的 长 文件 名 。 系 统 将 长 文件 名 以 13 个 字符 为 单位 进行 切割 ,每 一 组 占据 一 个 目录 项 。 
所 以 可 能 一 个 长 文件 名 需要 多 个 目录 项 ,这 时 长 文件 名 的 各 个 目录 项 按 倒 序 排列 在 目录 中 ,以 
防 与 其 他 文件 名 混淆 。 

长 文件 名 中 的 字符 采用 Unicode 码 形式 编码 ,每 个 字符 占据 2 字 节 的 空间 ,其 目录 项 定义 
见 表 5.19 所 列 。 
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表 5.19 FAT32 长 文件 目录 项 32 字 节 表示 的 含义 


字 节 偏 移 字 节 数 & x 

长 文件 名 序列 号 ,一 个 文件 的 第 一 个 长 文件 名 序列 号 为 01 ,然后 依次 递增 。 如 

ako i 果 是 该 文件 的 最 后 一 个 长 文件 名 目录 项 , 则 将 该 目录 项 序号 与 0X40 进行 “或 
运算 ”的 结果 写 人 该 位 置 。 如 果 长 文件 名 目录 项 对 应 的 文件 或 子 目录 被 除 删 
除 , 则 将 该 字 节 设置 成 删除 标志 0XE5 。 

a iò 长 文件 名 的 第 1 一 5 个 字符 (Unicode 码 ) ,未 使 用 的 部 分 填充 两 个 字 节 “00”, 然 
后 用 0XFF 填充 。 

0X0B 1 长 文件 名 目录 项 标志 , 取 值 OXOF 。 

0X0C 1 系统 保留 

PEDRI i 校 验 值 和 ,如 果 一 个 文件 的 长 文件 名 需要 几 个 长 文件 名 目录 项 进行 存储 , 则 这 
些 长 文件 名 目录 项 具有 相同 的 校 验 和 。 

ee ï 长 文件 名 的 第 6 一 11 个 字符 (Unicode 码 ) ,未 使 用 的 部 分 填充 两 个 字 节 “00”， 
然后 用 0XFF 填充 。 

OX1A~0X1B 2 保留 

saa s " 长 文件 名 的 第 12 一 13 个 字符 (Unicode 码 ) ,未 使 用 的 部 分 填充 两 个 字 节 “00”， 
然后 用 0XFF 填充 。 


FAT32 文件 系统 在 存储 长 文件 名 时 ,总 是 先 按 倒序 填充 长 文件 名 目录 项 ,然后 紧 跟 其 对 
应 的 短文 件 名 。 从 表 5. 19 可 知 , 长 文件 名 中 并 不 存储 对 应 文件 的 开始 簇 号 文件 大 小 、 各 种 时 
间 和 日 期 属性 ,文件 的 这 些 属性 存储 在 对 应 短文 件 名 目录 项 中 ,一 个 长 文件 名 总 是 与 其 相应 的 
短文 件 名 一 一 对 应 ,短文 件 名 没有 对 应 的 长 文件 名 仍然 可 以 进行 正常 的 读 / 写 ; 但 长 文件 名 如 
果 没 有 对 应 的 短文 件 名 ,不 管 什么 系统 都 将 其 忽略 。 所 以 短文 件 名 对 于 长 文件 名 是 非常 重要 
的 。 在 不 支持 长 文件 名 的 操作 系统 中 对 短文 件 名 字段 进行 改动 ,都 会 使 长 文件 名 形同虚设 。 
长 文件 名 的 字 节 偏 移 0X0D* 校 验 和 ”起 很 重要 的 作用 ,此 * 校 验 和 ”是 用 短文 件 名 的 11 个 字符 
通过 一 种 运算 方式 得 到 的 。 系 统 根 据 相应 的 算法 来 确定 相应 的 长 文件 名 和 短文 件 名 是 否 匹 
Bu; 如 果 通 过 短文 件 名 计算 出 来 的 “ 校 验 和 ”与 长 文件 名 中 的 字 节 偏 移 0X0D 处 数据 不 匹配 ， 
则 系统 不 会 将 它们 配对 ; 如 果 匹 配 , 则 依据 长 文件 名 和 短文 件 名 对 目录 项 的 定义 ,以 短文 件 名 
的 开始 簇 号 和 FAT 表 的 相应 链表 ,就 可 以 对 该 文件 进行 访问 。 

例 5.8 丁 盘 根 目 录 下 某 文件 目录 项 存储 形式 如 图 5.12 所 示 ( 注 : 图 5. 12 中 方 框 部 分 )。 


Nai offse | o 1234567 08 9 À B C p FEA 
004002c0 41 42 43 44 32 30 30 30 20 20 20 10 08 92 21 4C | ABCD2000 ..”IL 
73 46 73 46 00 00 32 55 72 46 AB DO 00 00 00 00 sFsF..2UrF«Ð.... 


41 57 00 6F 00 72 00 64 
FF FF FF FF FF FF FF FF 


Snapshottaken 1 min ac 
a9 °° | 00400300 


Physical sector No- 8321 
P= a ggg | 00400310 


mji nn4nna2n 
cl 8193 of 413696, Ofset 


5.12 J] # H s F Word 文件 夹 的 存储 形式 


说 明 

A) 用 户 对 文件 夹 名 的 命名 规则 属于 【情况 1】, 该 目录 项 描述 的 是 一 个 文件 夹 , 文 件 夹 名 
称 存储 在 根 目录 下 ,用户 在 资源 管理 器 中 查看 到 的 文件 夹 名 为 Word, 

D 在 目录 项 中 ,存在 有 两 个 文件 夹 名 ,一 个 描述 的 是 长 文件 夹 名 , 另 一 个 描述 的 是 短文 
件 夹 名 。 


@ 大 话 数据 恢复 


(3) 短文 件 夹 名 称 为 WORD, 短 文件 夹 名 以 ASCH 码 的 形式 存储 ,属性 代码 为 0X10, 即 
文件 夹 ,开始 簇 号 为 0X0000DOEA。 

(4) 长 文件 夹 名称 为 Word, 长 文件 夹 名 以 Unicode 码 存 储 , 即 “W”*o”“*r” 和 “d” 的 
Unicode 码 分 别 为 0057、006F、0072 和 0064( 注 : 存储 形式 为 小 头 位 序 )。 即 用 户 在 资源 管理 
器 中 查看 到 的 文件 夹 名 称 为 Word, 由 于 长 文件 名 的 存在 ,用 户 不 能 在 资源 管理 器 中 查看 到 对 
应 的 短文 件 夹 名 。 

例 5.9 丁 盘 根 目 录 下 某 目录 项 的 存储 形式 如 图 5.13 所 示 ( 注 : 在 J 盘 的 8193 号 扇 区 ) 。 


说 明 : 


Offset 


01234567 89ABCDEF 


00400320 41 7F 95 87 65 F6 4E OD 54 00 00 OF 00 BA FF FF A 的 文件 名 ...? 
00400330 FF FF FF FF FF FF FF FF_FF FF 00 00 FF FF FF FF 


00400340 B3 A4 CE C4 BC FE C3 FB 20 20 20 10 00 67 22 4C 长 文 各 名 .gL 
00400350 73 46 73 46 DO 0d 32 55 72 46 53 DJ 00 00 00 00 sFsF..2UrFS?... 


图 5.13 J 盘 根 目录 下 长 文件 名 文件 夹 目 录 项 的 存储 形式 


(1) 用 户 对 文件 夹 名 的 命名 规则 属于 【情况 2】 ,该 目录 项 描述 的 是 一 个 文件 夹 ,文件 夹 存 
储 在 根 目录 下 ,用 户 在 资源 管理 器 中 查看 到 的 文件 夹 名 为 “长 文件 名 ”。 
(2) 在 该 目录 项 中 ,存在 两 个 文件 夹 名 ,一 个 描述 的 是 长 文件 夹 名 , 另 一 个 描述 的 是 短文 


件 夹 名 。 


(3) 短文 件 夹 名 称 为 “长 文件 名 ”, 短 文件 夹 名 以 ASCII 码 存储 , 即 “ 长 * 文 * 件 ”和 “名 ”的 
ASCII 码 分 别 为 A4B3、C4CE、FEBC 和 FBC3 QE: 存储 形式 为 小 头 位 序 )。 属 性 代码 为 
0X10, 即 文件 夹 ,开始 簇 号 为 0X0000D353。 

(4) 长 文件 夹 名 称 为 “长 文件 名 ” ,长 文件 夹 名 称 以 Unicode 码 存 储 , 即 “长 ”* 文 “* 件 ”和 
“名 ”的 Unicode 码 分 别 为 957F、6587、4EF6 和 540D( 注 : 存储 形式 为 小 头 位 序 ) 。 


例 5. 10 


在 丁 盘 “长 文件 名 ”文件 夹 下 存储 的 文件 名 为 abcdefghijklmnopqrstuvwxyz 


0123456789abcdefghijklmnopqrstuvwxyz01234567890. doc 的 目录 项 ,存储 形式 如 图 5. 14 所 
示 ( 注 : 存储 在 ] 盘 的 116386 号 扇 区 ) 。 


图 5. 14 


Offset 

038D4440 
038D4450 
038D4460 
038D4470 


01234567 89ABCDRE ERF 

46 33 00 34 00 35 00 36 00 37 00 OF 00 8E 38 00_F3.4.5.6.7...?. 
39 00 30 00 2E 00 64 00 6F 00 00 00 63 00 00 00 9. : 
0671 00 72 00 73 00 74 00 75 00 OF 00 8E 76 00 .q.r.s. t.u... W. 
77 00 78 00 79 00 7A 00 30 00 00 00 31 00 32 00 w.x.y.z.0...1.2. 


038D4480 04 64 00 65 00 66 00 67 00 68 00 OF 00 8E 69 00 .d.e.f. g.h... jk. 


038D4490 6A 00 6B 00 6C 00 6D 00 6E 00 00 00 6F 00 70 00 _j.k.1.m.n...o.p. 


038D44A0 
038D44B0 


03 30 00 31 00 32 00 33 00 34 00 OF 00 8E 35 00 .0.1. 2.3. 4...2. 
36 00 37 00 38 00 39 00 61 00 00 00 62 00 63 00 6.7.8.9. a... b. 


e Ce 
038D44C0 02 6E 00 6F 00 70 00 71 00 72 00 OF 00 8E 73 00__ n. o. p. q. r... . iit. 
038D44D0 74 00 75 00 76 00 77 00 78 00 00 00 79 00 7A 00 t.u.v.w.x...y.z. 


038D44E0 
038D44F0 
038D4500 
038D4510 


01 61 00 62 00 63 00 64 00 65 00 OF 00 8E 66 00 .a.b. c.d. e... iĝ. 
67 00 68 00 69 00 6A 00 6B 00 00 00 6C 00 6D 00 g.h. i.j.k...1.m. 
41 42 43 44 45 46 7E 31 44 4F 43 20 00 68 22 4C ABCDEF™IDOC .h”L 


73 46 73 46 DO od AD 88 29 46 54 D3 DO 2C 00 OO) sFsF.. 瑞 )FT?,.. 


存储 abcdefghijklmnopqrstuvwxyz0123456789abcdefghijklmnopqrstuvwxyz01234567890. doc 
文件 的 目录 项 
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说 明 : 

(1) 用 户 对 文件 名 的 命名 规则 属于 【情况 3】, 从 文件 名 目录 项 的 存储 形式 可 知 , 在 长 文件 
名 后 生成 一 个 短文 件 名 ,短文 件 名 以 ASCII 码 的 形式 存储 ,短文 件 名 称 为 "ABCDEF 一 1. 
DOC”, 该 文件 名 项 记录 了 文件 的 一 些 基 本 属性 (如 : 文件 创建 日 期 \ 时 间 , 文 件 最 近 修 改 的 日 
期 时间, 文件 内 容 开始 簇 号 ,文件 大 小 等 ) ,如 图 5. 14 中 的 阴影 部 分 ; 短文 件 名 在 资源 管理 器 
中 并 不 显示 ,所 以 用 户 不 能 在 资源 管理 器 中 查看 到 短文 件 名 。 

文件 开始 簇 号 = [0X15][0X14][0X1B][0X1A] = 0X0000D354( 即 54100) 
文件 实际 大 小 = [0OX1F][oX1E][oX1D][oX1C] = 0X00002C00( 即 11264) 字 节 

(2) 该 文件 的 长 文件 名 以 Unicode 码 的 方式 存储 ,以 倒序 的 方式 占用 6 个 文件 目录 项 , 即 
192 字 节 ( 注 : 每 个 文件 目录 项 的 长 度 为 32 字 节 )。 

第 1 个 文件 目录 项 以 0X01 开头 ,存储 的 名 称 为 abcdefghijklm; 

第 2 个 文件 目录 项 以 0X02 开头 ,存储 的 名 称 为 nopqrstuvwxyz; 

第 3 个 文件 目录 项 以 0X03 开头 ,存储 的 名 称 为 0123456789abc; 

第 4 个 文件 目录 项 以 0X04 开头 ,存储 的 名 称 为 defghijklmnop; 

第 5 个 文件 目录 项 以 0X05 开头 ,存储 的 名 称 为 qrstuvwxyz012; 

第 6 个 文件 目录 项 以 0X46 开头 ,是 0X40 和 0X06 进行 “或 运算 ”的 结果 ,是 最 后 一 个 文件 
名 项 ,存储 的 名 称 为 34567890. doc, 后 面 未 使 用 的 文件 名 部 分 填充 1 字 节 的 “00”; 

(3) 这 6 个 长 文件 名 属性 标志 均 为 0XOF , 校 验 值 为 0X8E。 

(4) 该 文件 的 长 文件 名 = 第 1 个 文件 名 项 十 第 2 个 文件 名 项 十 …… 十 第 6 个 文件 名 项 , 即 长 
文件 名 为 abcdefghijklmnopqrstuvwxyz0123456789abcdefghijklmnopqrstuvwxyz01234567890. doc, 
也 就 是 用 户 在 资源 管理 器 中 查看 到 的 文件 名 。 


4.“. "目录 项 与 “.. "目录 项 


“. ”目录 项 与 “.. ”目录 项 是 子 目录 中 非常 重要 的 两 个 目录 项 ,在 子 目 录 中 总 是 成 对 出 现 ， 
分 别 位 于 每 个 子 目 录 的 第 1 个 和 第 2 个 目录 项 。 

“. ”目录 项 的 开始 簇 号 就 是 该 子 目录 在 逻辑 盘 中 的 开始 簇 号 ;“.. ”目录 项 的 开始 簇 号 则 
是 该 子 目录 上 一 级 目录 ( 妈 父 目录 ) 的 开始 簇 号 ; 如 果 该 目录 项 的 开始 簇 号 是 00, 则 说 明 该 子 
目录 的 上 一 级 目录 为 根 目录 。“. ”目录 项 与 “.. ”目录 项 在 5. 3. 8 节 中 还 将 以 实例 的 形式 进 一 
步 说 明 。 

注 : 一 般 情况 下 ,FAT32 文件 系统 根 目 录 在 数据 区 的 开始 簇 是 2, 但 是 由 于 在 FAT12/ 
FATI16 文件 系统 中 ,默认 为 0 号 簇 为 根 目录 所 在 簇 号 ,为 了 与 FAT12/FAT16 文件 系统 兼容 ， 
所 以 在 FAT32 文件 系统 中 也 就 默认 为 0 号 簇 就 是 根 目 录 所 在 簇 号 ,特别 是 在 “. . ”表示 上 一 级 
目录 时 ,以 00 为 根 目录 开始 簇 号 ,而 不 是 以 2 作为 根 目 录 的 开始 簇 号 。 


5.3.8 根 目录 、 子 目录 与 回收 站 


1. 根 目 录 


用 户 使 用 FAT32 文件 系统 对 逻辑 盘 格式 化 后 , 根 目 录 的 开始 簇 号 位 于 FAT2 表 之 后 , 占 
一 个 簇 的 位 置 。 当 根 目录 下 存储 的 文件 ( 夹 ) 数 量 不 断 增加 ,一 个 簇 不 够 存放 时 ,FAT32 将 会 


& 大 话 数据 恢复 


再 申请 一 个 簇 ,并 以 线性 链表 的 形式 将 这 两 个 簇 连 接 起 来 ; 当 两 个 簇 仍然 不 够 存放 时 , 则 再 申 
请 一 个 簇 ,并 以 线性 链表 的 形式 将 这 3 个 簇 连接 起 来 ,以 此 类 推 。 根 目录 的 开始 簇 号 可 以 从 
FAT32_DBR 的 BPB 参数 中 获得 ; 一 般 情况 下 , 根 目录 的 开始 簇 号 为 2。 如 果 FAT 表 第 一 个 
扇 区 偏 移 0X08 一 0XOB 处 ( 即 2 号 簇 项 ) 存 储 的 值 是 “FF FF FF 0F( 存 储 形式 )”, 说 明 根 目录 
只 占用 一 个 簇 , 即 2 号 簇 ; 否则 根 目 录 占 用 两 个 以 上 的 簇 号 ,从 该 值 可 以 找到 根 目 录 的 下 一 个 
簇 号 。 

例 5.11 JÆ FAT REKA 80 字 节 如 图 5. 15 所 示 。 


offset | 0 1 
00273C00 F8 FF 
F 


3 4 5 6 7 89ABCDE Fea 

F FF FF FF FF [B7 D4 00 OD]FF FF FF OF oyy.yyyy -OR .yyy. | 
F FF FF FF OF 07 00 00 00 FF FF FF OF yyy.yyy.....yyy. 
FF FF FF OF OA 00 OD OD OB 00 00 00 DC 00 00 00 yyy 
00273c30 OD 00 00 00 OE 00 00 00 OF 00 00 00 10 00 00 OO .. 
Snapshottaken min ago | 0027340 11 00 00 00 12 00 00 00 13 00 00 00 14 00 00 OO .. 
273CoA, =o Bock 


5.15 J #ÉJ FAT RH 1 个 扇 区 的 前 80 字 节 


由 于 根 目 录 的 开始 簇 号 为 0X02, 而 FAT 表 的 1 号 扇 区 偏 移 0X08 一 0XOB ( 即 2 号 簇 项 ) 
存储 的 值 为 0X0000D4B7, 也 就 是 说 ,J 盘 根 目录 的 下 一 个 簇 号 是 0X0000D4B7 (十进制 值 为 
54455), 由 式 (5.16) 可 知 : 

54455 号 簇 项 在 FAT 表 的 扇 区 号 = INT( 簇 号 项 /128) 十 1 
= INT(54455/128) 十 1 = 426 
由 式 (5.17) 可 知 : 
54455 号 簇 项 在 FAT 表 中 的 扇 区 偏 移 

=4 X MOD( 簇 号 项 ,128) = 4 X MOD(54455,128) + N — 1 = (220,221,222,223) 

54455 FIRME FAT KHI 426 号 扇 区 偏 移 220 一 223( 即 0X0DC—0X0DF) b; 从 丁 盘 
FAT32_DBR 可 知 ,保留 扇 区 数 为 5022 ,每 个 FAT 表 占 用 扇 区 数 为 1585. 

54455 号 簇 项 针对 FAT1l 表 在 丁 盘 的 5447 号 扇 区 偏 移 220 一 223(0XODC 一 0XODF) 处 , 针 
对 FAT2 表 在 丁 盘 的 7032 号 扇 区 偏 移 220 一 223(0XODC 一 0XODF) 处 。 

将 光标 移动 到 5447 号 扇 区 (或 7032 号 扇 区 ) 偏 移 220 一 223( 即 OQXODC 一 0XODF) 处 ; 其 
内 容 如 图 5. 16 所 示 。 从 图 5. 16 可 知 ,J 盘 5447 号 扇 区 偏 移 220 一 223 处 ,其 内 容 为 
0X0FFFFFFF( 存 储 形式 为 FF FF FF 0F) ,表示 该 链表 已 经 结束 。 


Cluster No, A Offset |o 1 2 3 4 5 6 7 8 9 A B C p E FEAWE - 
ma EE O02ABEBO AD D4 00 00 AE D4 00 00 AF D4 00 00 BO D4 00 00 | -5.. 的 b.. 
OO2ABECO B1 D4 00 00 B2 D4 00 00 B3 D4 00 00 B4 D4 00 00 :0..20 as 
Snapshottaken 27min ago | 002ASEDO BS D4 00 00 Bs D4 00 OO FF FF FF OF[EE EE FE QE] pò. Wy 
s 


E 
jedor No; 5575| 002ASEEO (B9 D4 00 00 BA D4 00 00 BB D4 00 00 BC D4 00 00| +0. .20 sM.. 

Logical sedor No- 5447 | O02ABEFO BD D4 00 00 BE D4 00 00 BF D4 00 OO CO D4 00 00 |%..W0..60..AD.. 

< 5 | Offset 2A8EDC| =255| Block ma| Size: mha, 


5.16 J # 5447 扇 区 偏 移 地 址 220 一 223 处 


所 以 ,J 盘 根 目录 共 占 用 2 个 簇 , 即 2 号 徐 和 54455( 即 0XD4B7) E .J 盘 根 目录 的 链表 
结构 如 图 5. 17 所 示 。 
02 号 簇 项 D4B75 


0X00000D4B7 OFFFFFFF 


图 5.17 J 盘 根 目录 的 链表 结构 图 ( 注 : 图 中 的 数据 均 为 十 六 进 制 ) 
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例 5.12 使 用 资源 管理 器 查看 J 盘 根 目 录 中 所 存储 的 文件 和 文件 夹 如 图 5. 18 所 示 ,而 使 
用 WinHex 软件 查看 本 盘 根 目 录 的 存储 形式 如 图 5. 19 和 图 5. 20 所 示 ( 注 : J 盘 根 目录 存储 在 
2 号 艇 和 54455 BIR). 


N W W W W W 
) à Š W; g 


a300 aaoo Asoo  a10000 abcd abcd1 
abcd4 abcd43 。 abcd1300 abcd2000 Word — 长 文件 名 
` ` ` ` a 
L 
aolet a02bt a0att 。 a04bt a05bt 
` ` ` ` 
L 
a08bdt a09bt allot al2zba 


图 5.18 J 盘 根 目录 中 所 存储 的 文件 和 文件 夹 


Offset 01234567 89ABCDEF 

00400000 41 42 43 44 34 20 20 20 20 20 20 08 00 00 00 00 ABCD4 ..... 
00400010 00 00 00 00 00 00 07 4C 73 46 00 00 00 00 00 00 ....... LF.... 
00400020 41 30 35 20 20 20 20 20 20 20 20 10 00 B7 17 4C A05 
00400030 73 46 73 46 00 00 80 7D 72 46 03 00 00 00 00 00  sFsF.. €}rF..... 
00400040 41 30 36 20 20 20 20 20 20 20 20 10 00 BA 17 4C A06 eL 


00400050 73 46 73 46 00 00 29 55 72 46 04 00 00 00 00 00 sFsF..)UrF...... 目录 项 3 
00400060__41 31 31 20 20 20 20 20 20 20 20 10 08 BB 17 4C_All 
00400070 73 46 73 46 00 00 29 55 72 46 05 00 00 00 00 00 _sFsF.. m : 目录 项 4 
00400080 41 31 36 20 20 20 20 20 20 20 20 10 08 C1 17 4C Al6 = 
00400090 73 46 73 46 00 00 29 55 72 46 1E 00 00 00 00 00 sFsF..)UrF. 目录 项 5 
004000A0 41 33 30 20 20 20 20 20 20 20 20 10 08 C2 17 4C A30 i 
00400080 73 46 73 46 00 00 29 55 72 46 20 00 00 00 00 00 _ sFsF..)UrF ..... 目录 页 6 
00400000 41 34 32 20 20 20 20 20 20 20 20 10 08 C4 17 4C A42 eL n 
004000D0 73 46 73 46 00 00 29 55 72 46 21 00 00 00 00 00 sFsF..)UrF!... 目录 项 7 
O04000E0 41 36 31 20 20 20 20 20 20 20 20 10 08 C7 17 4C_A61 Pek: P 
004000F0 _73 46 73 46 00 00 29 55 72 46 23 00 00 00 00 00 _sFsF..)UrF#..... 目录 项 8 
00400100 41 37 30 20 20 20 20 20 20 20 20 10 08 04 18 4C A70 
00400110 73 46 73 46 00 00 29 55 72 46 25 00 00 00 00 00 sFsF..)UrF%..... 目录 项 9 
00400120 41 38 30 20 20 20 20 20 20 20 20 10 08 09 18 4C_A80 L 

目录 项 10 


00400130 73 46 73 46 00 00 2A 55 72 46 28 00 00 00 00 00  sFsF..*UrF(..... 
00400140 41 31 30 30 20 20 20 20 20 20 20 10 00 17 18 4C 


00400150 73 46 73 46 00 00 2A 55 72 46 2F 00 00 00 00 00 
00400160 41 33 30 30 20 20 20 20 20 20 20 10 08 1E 18 4C 
00400170 _73 46 73 46 00 00 2A 55 72 46 33 00 00 00 00 00 
00400180 41 34 30 30 20 20 20 20 20 20 20 10 00 33 18 4C 
00400190 73 46 73 46 00 00 2A 55 72 46 3D 00 00 00 00 00 
004001A0 41 36 30 30 20 20 20 20 20 20 20 10 00 4E 18 4C 
004001B0 73 46 73 46 00 00 2A 55 72 46 4A 00 00 00 00 00 _sFsF. .*UrFJ..... 

004001C0 41 31 30 30 30 30 20 20 20 20 20 10 08 7F 18 4C Al0000 svk 目录 项 15 
004001D0 73 46 73 46 00 00 30 55 72 46 61 00 00 00 00 00 sFsF..OUrFa..... 


图 5.19 2 号 能 中 文件 和 文件 夹 的 存储 形式 


& 大 话 数 据 恢复 


004001E0 4142434420202020 20 20 20 10 08 9D 1D 4C ABCD PAR 目录 项 16 
00400IF0 73 46 73 46 00 00 30 55 72 46 9A 01 00 00 00 OO _sFsF..0UrF?.... 
00400200 41 42 43 44 31 20 20 20 20 20 20 10 08 Al 1D 4C ABŒ@1 


目录 项 17 
00400210 73 46 73 46 00 00 30 55 72 46 B2 01 00 00 00 00 
00400220 41 42 43 44 32 20 20 20 20 20 20 10 08 A7 1D 4C 目录 项 18 
00400230 73 46 73 46 00 00 30 55 72 46 F2 0D 00 00 00 00 
00400240 41 42 43 44 33 20 20 20 20 20 20 10 08 BO 1D 4C 目录 项 19 
00400250 73 46 73 46 00 00 66 55 72 46 Dl 1F 00 00 00 00 
00400260 41 42 43 44 34 20 20 20 20 20 20 10 08 B8 1D 4C 目录 项 20 
00400270 73 46 73 46 00 00 30 55 72 46 FF 2E 00 00 00 00 
00400280 41 42 43 44 34 33 20 20 20 20 20 10 08 BF 20 4C ABCD43 目录 项 21 


00400290 73 46 73 46 00 00 82 81 29 46 75 DO 00 00 0000 sFsF..?)Fu?... 

00400240 41 42 43 44 31 33 30 30 20 20 20 10 08 09 21 4C ABCD1300 _...!L 目录 项 22 
004002B0 73 46 73 46 00 00 31 55 72 46 82 DO 00 00 00 00_sFsF..1UrF 优 ... 
004002C0 41 42 43 44 32 30 30 30 20 20 20 10 08 92 21 4C ABŒ@D2000 ..?L 
004002D0 73 46 73 46 00 00 32 55 72 46 AB DO 00 00 00 00 sFsF..2UrFIF. 
004002E0 41 57 00 6F 00 72 00 64 00 00 00 OF 00 15 FF FF AW.o.r.d...... 
004002F0 FF FF FF FF FF FF FF FF_FF FF 00 00 FF FF FF FF 

00400300 57 4F 52 44 20 20 20 20 20 20 20 10 00 65 22 4C WORD mel 
00400310 73 46 77 46 00 00 32 55 72 46 FA DO 00 00 00 00 sFsF._2UrF E... 
00400320 41 7F 95 87 65 F6 4E OD 54 00 00 OF 00 BA FF FF A. 晰 e 钱 T....? 
00400330 FF FF FF FF FF FF FF FF FF FF 00 00 FF FF FF FF 

00400340 B3 A4 CE C4 BC FE C3 FB 20 20 20 10 00 67 22 4C 长 文件 名 ..gL 
00400350 73 46 73 46 00 00 32 55 72 46 53 D3 00 00 00 00 sFsF..2UrFS?... 
00400360 41 30 30 20 20 20 20 20 54 58 54 20 18 68 22 4C A00 TXT .”L 
00400370 73 46 73 46 00 00 F6 7C 72 46 80 D3 76 18 00 00 _sFsF. #ërF€ R 
00400380 41 30 31 20 20 20 20 20 44 4F 43 20 18 69 22 4C Al  DOC.i”L 
00400390 73 46 74 46 00 00 88 52 5E 43 87 D3 00 40 04 00 sFtF.. FE CUHR @. 
004003A0 41 30 31 20 20 20 20 20 54 58 54 20 18 69 22 4C AOL  TXT.i’L 
004003B0 73 46 73 46 00 00 52 50 99 43 97 D4 52 00 00 00 sFsF..RP BNR. 
004003C0 41 30 32 20 20 20 20 20 54 58 54 20 18 6A 22 4C A02 TXT .jL 
004003D0 73 46 73 46 00 00 2E 78 FA 3E 00 00 00 00 00 00 sFsF...x?...... 


004003E0 _41 30 33 20 20 20 20 20 44 4F 43 20 18 6A 22 4C A03  DOC.j°L 目录 项 30 
004003F0 73 46 77 46 00 00 OC 49 73 42 98 D4 00 7A 00 00 _sFwF...IsB& z.. 


目录 项 23 


目录 项 24 


目录 项 25 


目录 项 26 
目录 项 27 
目录 项 28 


目录 项 29 


图 5.19 ( 续 ) 


从 图 5.19 和 图 5. 20 可 知 ,在 J 盘 的 根 目 录 下 共存 储 42 个 目录 项 ,说 明 如 下 : 

(1) 目录 项 1 名 称 为 ABCD4., 偏 移 地 址 0X0B 的 值 为 0X08, 即 丁 盘 的 卷 标 为 ABCD4。 

(2) 目录 项 2 至 目录 项 23, 每 个 目录 项 的 长 度 均 为 32 字 节 ,目录 项 偏 移 0X0B 的 值 均 为 
0X10, 即 这 22 个 目录 项 均 为 子 目录 ( 即 文件 夹 ) 。 

(3) 目录 项 24 和 目录 项 25 ,每 个 目录 项 的 长 度 均 为 64 字 节 ; 每 个 目录 项 由 长 文件 夹 名 
描述 和 短文 件 夹 名 描述 两 部 分 组 成 ; 长 文件 夹 名 项 偏 移 0X0B 处 的 值 为 0XOF ,而 对 应 短文 件 
夹 名 项 偏 移 0X0B 处 的 值 为 0X10, 这 两 个 目录 均 为 子 目 录 ( 即 文件 夹 )。 

(4) 目录 项 26 至 目录 项 40, 每 个 目录 项 的 长 度 均 为 32 字 节 ,目录 项 偏 移 地 址 0X0B 的 值 
均 为 0X20, 即 这 15 个 目录 项 均 为 存档 文件 ; 目录 项 偏 移 地址 0X0C 的 值 均 为 0X18, 即 主 文件 
名 和 扩展 名 在 资源 管理 器 中 均 以 小 写字 母 显 示 。 

(5) 目录 项 41 ,长 度 为 32 字 节 ,名 称 为 $RECYCLEBIN ,目录 项 偏 移 地 址 0X0B 的 值 均 
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Offset 01234567 89ABCDEF 

0392D400 41 30 33 20 20 20 20 20 54 58 54 20 18 6A 22 4C A03 TT .YL 
0392D410 73 46 73 46 00 00 2E 78 FA 3E 00 00 00 00 00 00 sFsF...x?...... 
0392D420 41 30 34 20 20 20 20 20 54 58 54 20 18 6A 22 4C At TXT. L 目录 项 32 
0392D430 _73 46 73 46 00 00 2E 78 FA 3E 00 00 00 00 00 00 _sFsF... 
0392D440 41 30 35 20 20 20 20 20 54 58 54 20 18 6A 22 4C A05 WIL 
0392D450 73 46 73 46 00 00 2E 78 FA 3E 00 00 00 00 00 00 sFsF...x?...... 
0392D460 41 30 36 20 20 20 20 20 54 58 54 20 18 6A 22 4C A06  TXT.j’L 目录 项 34 
0392D470_ 73 46 73 46 00 00 2E 78 FA 3E 00 00 00 00 00 00_sFsF...x?...... 
0392D480 41 30 37 20 20 20 20 20 54 58 54 20 18 6A 22 4C A07 yL 
0392D490 73 46 73 46 00 00 2E 78 FA 3E 00 00 00 00 00 00 sFsF...x?...... 
0392D4A0 41 30 38 20 20 20 20 20 54 58 54 20 18 6A 22 4C A08 ERAN 目录 项 36 
0392D4B0 _ 73 46 73 46 00 00 2E 78 FA 3E 00 00 00 00 00 00 _sFsF...x?...... 
0392D4C0 41 30 39 20 20 20 20 20 54 58 54 20 18 6A 22 4C A09 T-L 


目录 项 31 


目录 项 33 


目录 项 35 


目录 项 37 
0392D4D0 73 46 73 46 00 00 2E 78 FA 3E 00 00 00 00 00 00 sFsF...x?...... 
0392D4E0 41 31 30 20 20 20 20 20 54 58 54 20 18 6A 22 4C A0 TXT .iL 目录 项 38 
0392D4F0 73 46 73 46 00 00 2E 78 FA 3E 00 00 00 00 00 00  sFsF...x?...... 
0392D500 41 31 31 20 20 20 20 20 54 58 54 20 18 6A 22 4C Al TXT .jL 目录 项 39 
0392D510 73 46 77 46 00 00 D3 5D 45 46 B8 D4 C8 2C 00 00  sFwF. . WEF 冈 ?.. 
03920520 41 31 32 20 20 20 20 20 54 58 54 20 18 6B 22 4C Al2 TXT kL 目录 项 40 
0392D530 73 46 73 46 00 00 0C 5E 45 46 C4 D4 5B 18 00 00 _sFsF... FEF 脑 [... 
0392D540 24 52 45 43 59 43 4C 45 42 49 4E [16 |00 78 42 4C $RECYCLEBIN. . xBL 目录 项 41 
0392D550 73 4( 6 CB D4 00 00 0000 sFsF. . CLsF W... . 
03920560 Es -RE i 
03920570 na pl MRE | 73 46 CD D4 00 00 00 00 _sFsF. . 0OsF K... DRE 


图 5.20 54455 SAR P AFR FR FEROE: 无 用 数据 已 删除 ? 


为 0X16, 即 属性 为 文件 夹 、 隐 藏 ,系统 ,在 资源 管理 器 中 用 户 不 能 查看 到 该 文件 夹 。 

(6) 目录 项 42 ,长 度 为 32 字 节 ,名 称 第 1 字 节 的 ASCII 码 为 "E5”, 即 表示 该 目录 项 已 被 
删除 ,用 户 在 资源 管理 器 中 不 能 查看 到 该 文件 夹 。 

(7) 用 户 在 资源 管理 器 中 ,只 能 看 到 24 个 文件 夹 .15 个 文件 和 一 个 卷 标 。 

(8) 根 目录 下 存储 的 42 个 目录 项 说 明 见 表 5. 20 所 列 。 


表 5.20 J 盘 根 目录 存储 文件 名 和 文件 夹 名 情况 表 


名 称 在 盘 根 目 录 名 称 显示 文件 
序号 存储 名 称 中 的 显示 方式 类 型 属性 值 方式 代码 开始 簇 号 所 占 字 节 

1 ABCD4 ABCD4 卷 标 0X08 0X00 

$ A05 A05 文件 夹 0X10 0X00 $ 
3 A06 A06 文件 夹 0X10 0X00 

4 All all 文件 夹 0X10 0X08 5 
5 A16 al6 文件 夹 0X10 0X08 30 
6 A30 a30 文件 夹 0X10 0X08 32 
7 A42 a42 文件 夹 0X10 0X08 33 
8 A61 a61 文件 夹 0X10 0X08 35 
9 A70 a70 文件 夹 0X10 0X08 37 
10 A80 a80 xik 0X10 0X08 40 
11 A100 A100 文件 夹 0X10 0X00 47 
12 A300 a300 文件 夹 0X10 0X08 51 


1 A400 A400 文件 夹 0X10 0X00 61 
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续 表 

序号 piam “名 称 在 J 盘 根 目录 aw 属性 值 。 名称 显 示 amga 文件 

中 的 显示 方式 方式 代码 所 占 字 节 
14 A600 A600 文件 夹 0X10 0X00 74 
15 A10000 a10000 文件 夹 0X10 0X08 97 
16 ABCD abcd 文件 夹 0X10 0X08 410 
17 ABCD1 abcd1 文件 夹 0X10 0X08 434 
18 ABCD2 abcd2 文件 夹 0X10 0X08 3570 
19 ABCD3 abcd3 文件 夹 0X10 0X08 8145 
20 ABCD4 abcd4 文件 夹 0X10 0X08 12031 
21 ABCD43 abcd43 文件 夹 0X10 0X08 53365 
22 ABCD1300 abcd1300 文件 夹 0X10 0X08 53378 
23 ABCD2000 abcd2000 文件 夹 0X10 0X08 53419 
24 WORD Word 文件 夹 0X10 0X00 53482 
25 长 文件 名 长 文件 名 文件 夹 0X10 0X00 54099 
26 A00 TXT a00. txt 文件 0X20 0X18 54144 6262 
2 A01 DOC a01. doc 文件 0X20 0X18 54151 278528 
28 A01 TXT a01. txt 文件 0X20 0X18 54423 82 
29 A02 TXT a02. txt 文件 0X20 0X18 0 
30 A03 DOC a03. doc 文件 0X20 0X18 54424 31232 
31 A03 TXT a03. txt 文件 0X20 0X18 0 
32 A04 TXT a04. txt 文件 0X20 0X18 
33 A05 TXT a05. txt 文件 0X20 0X18 0 
34 A06 TXT a06. txt 文件 0X20 0X18 0 
35 A07 TXT a07. txt 文件 0X20 0X18 0 
36 A08 TXT a08. txt 文件 0X20 0X18 0 
37 A09 TXT a09. txt 文件 0X20 0X18 0 
38 Al10 TXT al0. txt 文件 0X20 0X18 0 
39 Aii “TXT all. txt 文件 0X20 0X18 54456 11464 
40 A12 TXT al2. txt 文件 0X20 0X18 54468 6235 
41 $RECYCLEBIN $RECYCLEBIN 文件 夹 OX16 0X00 54475 
42 ? 638377_ 文件 夹 0X10 0X00 54477 

2. fE = 


在 逻辑 盘 的 根 目录 下 常常 需要 创建 一 些 子 目录 (文件 夹 )。 当 在 根 目录 下 创建 一 个 子 目 录 
后 ,在 根 目录 空白 目录 项 处 就 创建 了 一 个 子 目 录 项 ,该 子 目 录 项 占 0 字 节 空间 。 每 个 子 目 录 开 
始 簇 号 前 两 个 目录 项 的 名 称 分 别 为 *. ”和 *..”。 
“. ”目录 项 位 于 子 目 录 开 始 簇 号 的 第 1 个 目录 项 位 置 , 它 的 开始 簇 号 也 就 是 该 子 目录 的 开 
始 徐 号 ,其 他 的 定义 与 短文 件 名 定义 相同 ; 通过 两 个 子 目录 的 开始 簇 号 和 开始 扇 区 号 ,可 以 计 
算 逻 辑 盘 每 个 簇 的 扇 区 数 , 计 算 公 式 如 式 (5. 23) : 
每 个 簇 的 扇 区 数 = (第 2 个 子 目录 开始 扇 区 号 一 第 1 个 子 目录 开始 扇 区 号 ) + 
(第 2 个 子 目录 开始 徐 号 一 第 1 个子 目录 开始 簇 号 ) 
一 (第 1 个 子 目录 开始 扇 区 号 一 根 目 录 开 始 扇 区 号 ) 二 
(第 1 个 子 目录 开始 徐 号 一 根 目录 开始 簇 号 ) (5:28) 
注 : 根 目录 开始 簇 号 为 2。 
“.. ”目录 项 位 于 子 目录 开始 簇 号 的 第 2 个 目录 项 位 置 ,用 于 描述 该 子 目 录 的 父 目录 的 相 


关 信息 。 
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它 的 开始 簇 号 也 就 是 该 子 目录 的 父 目 录 开 始 簇 号 ,其 他 的 定义 与 短文 件 名 定义 相同 。 


在 子 目 录 中 还 可 以 再 建立 子 目 录 , 子 目录 通过 各 自 的 目录 项 “.” 和 “.. ”目录 项 的 开始 簇 
号 完成 对 目录 树 型 结构 的 管理 。 
例 5.13 在 J 盘 abcd KFR F“. ”与 “.. ”目录 项 存储 形式 如 图 5. 21 所 示 。 


Offset 

00466000 
00466010 
00466020 
00466030 


说 明 : 


01234567 
2E 20 20 20 20 20 20 20 
73 46 73 46 00 00 20 4C 
2E 2E 20 20 20 20 20 20 
73 46 73 46 00 00 20 4C 


8 9ABCDEF 
20 20 20 10 00 9D 1D 4C 
73 46 9A 01 00 00 00 00 
20 20 20 10 00 9D 1D 4C 
73 46 00 00 00 00 00 00 


` PER [; 
sFsF. . LsF?.... 

=s ses 
| DOP. 


图 5.21 JÆ abed 文件 夹 存储 的 “. ”与 “.. "目录 项 存储 形式 


(1) 从 图 5. 21 可 知 ,两 个 目录 项 的 属性 代码 均 为 0X10, 即 属性 为 文件 夹 。 

(2) 第 1 个 目录 项 的 名 称 为 “.”, 对 应 的 ASCH 码 为 0X2E; 该 目录 项 的 开始 簇 号 为 
0X0000019A; EJ abcd 文件 夹 在 J 盘 的 开始 簇 号 为 0X0000019A。 

(3) 第 2 个 目录 项 的 名 称 为 “..”, 对 应 的 ASCII 码 为 0X2E、0X2E; 该 目录 项 的 开始 簇 号 
为 0X00000000, 即 abed 文件 夹 的 上 一 级 文件 夹 ( 即 根 目 录 ) 在 J 盘 的 开始 簇 号 为 0X00; 也 就 
是 说 abed 文件 夹 是 丁 盘 根 目录 下 的 一 个 文件 夹 。 

注 : J 盘 abed 文件 夹 目录 项 ,请 读者 查看 图 5.19 中 的 目录 项 16. 

例 5.14 在 J:\abcd\abcdl 文件 夹 下 所 存储 的 “. ”目录 项 与 “..” 目 录 项 存储 形式 如 图 5. 22 


01234567 
2E 20 20 20 20 20 20 20 
73 46 73 46 00 00 20 4C 
2E 2E 20 20 20 20 20 20 
73 46 73 46 00 00 20 4C 


8 9ABCDEF 
20 20 20 [I0] 00 9E 1D 4C 
73 46 9B 01 00 00 00 00 
20 20 20 [0] 00 9E 1D 4C 
73 46 9A 01 00 00 00 00 


ss 


sFsF.. LsF?.... 


图 5.22 J;:VabcdVabcd1 文件 夹 存储 的 “. "与 “.. "目录 项 存储 形式 


所 示 。 
Offset 
00466400 
00466410 
00466420 
00466430 
说 明 : 


(1) 从 图 5. 22 可 知 ,两 个 目录 项 的 属性 代码 均 为 0X10, 即 属性 为 文件 夹 。 

(2) 第 1 个 目录 项 的 名 称 为 “.”, 对 应 的 ASCI 码 为 0X2E; 目录 项 的 开始 得 号 为 
0X0000019B, 即 J;VabcdVabcd1 文件 夹 在 J 盘 的 开始 簇 号 为 0X0000019B。 

(3) 第 2 个 目录 项 的 名 称 为 “..”, 对 应 的 ASCI 码 为 0X2E、0X2E; 目录 项 的 开始 簇 号 为 
0X0000019A; BJ J;VabcdVabcd1 文件 夹 的 上 一 级 文件 夹 ( 即 丁 盘 abed 文件 夹 ) 的 开始 簇 号 为 
0X0000019A; 也 就 是 说 J:\abcd\abcd1 文件 夹 是 J:\abcd 文件 夹 下 的 一 个 文件 夹 。 


3. 回收 站 


不 同 的 操作 系统 对 回收 站 的 管理 不 同 ， 


作 系统 对 回收 站 的 管理 ,请 读者 查阅 有 关 资 料 。 

在 Windows XP 操作 系统 下 ,FAT32 文件 系统 逻辑 盘 的 回收 站 是 一 个 特殊 的 子 目录 , 它 
位 于 逻辑 盘 的 根 目录 下 ,名 称 为 Recycled, 它 的 属性 值 是 0X16, 即 子 目录 、 系 统 、 隐 藏 。 在 回收 
站 中 ,除了 有 "“.” 和 “.. ”目录 项 外 ,还 有 一 个 名 为 INFO2 的 文件 ,该 文件 属性 值 为 0X22, 即 隐 


这 里 只 介绍 Windows XP 和 Windows 7; 其 他 操 
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藏 . 归 档 ; 该 文件 记录 了 被 删除 文件 的 原始 信息 , 即 被 删除 的 盘 符 路径、 长 文件 ( 夹 ) 名 。 如 果 
某 目 录 下 的 文件 被 删除 ,也 就 是 说 将 要 删除 的 文件 放 入 回收 站 后 ,系统 将 该 目录 下 要 删除 文件 
目录 第 一 个 字符 的 ASCII 码 改 为 0XE5 ,并 将 该 文件 原来 的 盘 符 、 路 径 、 文 件 名 以 Unicode 码 
的 形式 存储 到 INFO2 文件 中 ,并 对 该 文件 进行 顺序 编号 ; 在 回收 站 中 创建 一 个 文件 ,文件 名 
的 命名 规则 为 “D” 十 逻辑 盘 符 十 顺序 号 ,扩展 名 不 变 , 被 删除 文件 在 FAT 表 中 对 应 的 链表 仍 
然 完 好 。 其 中 : 逻辑 盘 符 为 被 删除 文件 所 在 盘 符 ,顺序 号 为 文件 在 INFO2 文件 中 的 顺序 号 。 

Windows 7 操作 系统 对 回收 站 的 管理 与 Windows XP 不 同 ; 在 Windows 7 操作 系统 下 ， 
回收 站 也 是 一 种 特殊 的 子 目 录 , 位 于 逻辑 盘 的 根 目 录 下 ,名 称 为 $RECYCLE. BIN , 它 的 属性 
值 也 是 0QX16 , 即 子 目录 隐藏 .系统 。 在 回收 站 目录 中 ,除了 有 ”“.” 和 ”*.. ”目录 项 ,还 有 一 个 名 
为 desktop. ini 的 文件 , 它 的 属性 值 是 0X26 , 即 归档 、 隐 藏 .系统 。 

如 果 用 户 将 文件 删除 ( 即 放 入 回收 站 ) 后 ,在 $ RECYCLE. BIN 文件 夹 中 会 创建 2 个 文 
件 ,两 个 文件 名 的 命名 规则 分 别 为 : 一 个 以 “$1 十 6 个 随机 字符 ”为 主 文件 名 ; 而 另 一 个 则 以 
“$R 十 6 个 随机 字符 ”为 主 文件 名 ,扩展 名 不 变 。 两 个 文件 的 “6 个 随机 字符 ”是 一 样 的 。* $I 十 6 
个 随机 字符 ”文件 的 内 容 存储 着 被 删除 文件 的 日 期 \ 时 间 、 盘 符 、 路 径 和 文件 名 ; W $ R 十 6 个 
随机 字符 ? 则 存储 着 被 删除 文件 的 内 容 。 


5.3.9 删除 文件 对 目录 项 、 回 收 站 等 的 影响 


删除 文件 是 一 种 常见 的 操作 ,删除 文件 一 般 有 两 种 方式 。 

【方式 一 】 将 文件 直接 删除 , 即 文件 不 放 入 回收 站 ; 不 同 磁盘 之 间 的 剪 切 文件 也 属于 这 
种 方式 。 过 程 如 下 : 

(1) 将 要 删除 文件 目录 第 一 个 字符 的 ASCII 码 改 为 0XE5 ,保留 文件 开始 簇 号 的 低 16 位 、 
文件 建立 的 日 期 ,时间 和 文件 的 大 小 等 信息 ,将 文件 开始 簇 号 的 高 16 位 填充 为 0000 。 

(2) 将 要 删除 的 文件 在 FAT 表 所 占据 的 文件 分 配 链表 填充 为 00000000 ,而 文件 的 内 容 
仍然 保留 。 

注 : 由 于 文件 开始 篮 号 的 高 16 位 被 填充 为 0000 后 ,这 也 正 是 使 用 许多 数据 恢复 软件 无 
法 恢复 被 删除 文件 的 原因 所 在 ,对 于 这 种 情况 建议 读者 使 用 DiskGenius 软件 来 恢复 被 删除 的 
文件 。 

【方式 二 】 将 文件 放 入 回收 站 ,然后 再 将 回收 站 清空 ; 或 者 在 回收 站 中 选择 文件 再 将 其 
删除 。 由 于 不 同 的 操作 系统 对 回收 站 的 管理 不 同 ,所 以 ,这 种 方式 在 不 同 的 操作 系统 下 对 回收 
站 的 影响 也 不 尽 相 同 。 本 节 重 点 讨论 Windows XP 和 Windows 7 操作 系统 。 

在 Windows XP 操作 系统 下 ,过 程 如 下 : 

(1) 将 要 删除 文件 目录 项 第 一 个 字符 的 ASCII 码 改 为 0XE5。 

(2) 将 要 删除 的 文件 放 入 回收 站 后 ,在 回收 站 文件 夹 ( 即 Recycled 文件 夹 ) 中 创建 一 个 文 
件 , 文 件 名 的 命名 规则 为 “DD 十 盘 符 十 顺序 号 十 .扩展 名 ”; 而 文件 建立 的 日 期 .时 间 、 开 始 篮 号 、 
文件 大 小 等 信息 与 被 删除 文件 相同 。 

G) 在 INFO2 文件 中 追加 两 条 记录 ,一 条 记录 是 以 ASCII 码 的 形式 存储 被 删除 文件 的 逻 
辑 盘 符 路径. 文件 名 ; 而 另 一 条 记录 则 是 以 Unicode 码 的 形式 存储 被 删除 文件 的 逻辑 盘 符 、 
路 径 、 文 件 名 、 顺 序号 文件 删除 日 期 .时 间 等 信息 。 

(4) 如 果 将 回收 站 清空 ,或 者 在 回收 站 中 选择 文件 再 将 其 删除 , 则 将 回收 站 中 以 “DD 十 盘 符 
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十 顺序 号 十 . 扩展 名 ”为 文件 名 第 一 个 字符 的 ASCII 码 改 为 0XE5; 被 删除 文件 在 FAT 表 中 
占据 的 文件 分 配 链表 填充 为 00000000 ,而 文件 内 容 仍然 保留 ; 将 INFO2 中 的 两 条 记录 删除 。 

在 Windows 7 操作 系统 下 .过 程 如 下 : 

(1) 将 要 删除 文件 目录 项 的 第 一 个 字符 的 ASCI 码 改 为 0XE5。 

(2) 将 要 删除 的 文件 放 入 回收 站 后 ,在 回收 站 文件 夹 中 创建 2 个 文件 ,这 2 个 文件 的 命名 
规则 是 : 一 个 以 “$I+6 个 随机 字符 ”为 文件 名 ; 另 一 个 则 以 “$ R 十 6 个 随机 字符 ”为 文件 名 ， 
扩展 名 不 变 。 两 个 文件 的 “6 个 随机 字符 ”是 一 样 的。 其 中 :“ $1 十 6 个 随机 字符 ”文件 大 小 为 
544 字 节 ,文件 内 容 存 储 着 被 删除 文件 的 日 期 \ 时 间 、 盘 符 、 路 径 和 文件 名 ; 而 “$ R+ 6 个 随机 
字符 ”文件 的 开始 簇 号 文件 大 小 等 信息 与 被 删除 文件 相同 。 

(3) 如 果 将 回收 站 清空 ,或 者 在 回收 站 中 选择 文件 再 将 其 删除 , 则 将 回收 站 中 的 * $ R 十 6 
个 随机 字符 . 扩展 名 ”和 “$R 十 6 个 随机 字符 . 扩展 名 ”文件 的 第 一 个 字符 的 ASCII 码 改 为 
0XE5; 将 这 两 个 文件 所 占据 的 文件 分 配 链表 填充 为 00000000 ,而 文件 的 内 容 仍然 保存 。 

例 5.15 在 Windows 7 操作 系统 下 ,假设 回收 站 已 空 , 将 丁 盘 根 目录 下 的 a03. doc 文件 
放 和 回收 站 ,并 清空 回收 站 ( 注 : a03. doc 文件 内 容 在 丁 盘 上 是 连续 存储 的 ) 。 

1) 对 被 删除 文件 目录 项 的 影响 

(1) 将 J 盘 根 目 录 下 的 a03. doc 文件 放 入 回收 站 前 

使 用 WinHex 软件 查看 J 盘 根 目录 下 的 a03. doc 文件 的 目录 项 如 图 5. 23 所 示 。 从 图 5. 23 
可 知 ,a03. doc 文件 开始 簇 号 二 0X0000D498( 即 54424) ,实际 大 小 为 0X00007A00( 即 31232) 
字 节 ,由 于 FAT32 文件 系统 是 以 簇 为 单位 对 数据 区 进行 管理 ,所 以 a03. doc 文件 内 容 实 际 占 
据 了 丁 盘 的 31744 字 节 空间 , 即 31 AGE: 本 盘 每 个 簇 的 扇 区 数 一 2) 。 


|, min ago 


= r= [ee 一 Tf 03.doc 实 际 大 小 


= 
A01 TXT .i"L| 
sFsF..RPICIÓR... 


004003A0 
004003B0 73 


73 46 As 46[oo od] oc 49 73 42 SENE... IsBIÓ.z.E 

00400400 2E 20 20 20 20 20 20 20 20 20 20 10 00 B7 17 4C . saab 

00400410 73 46 73 46 00 00 18 4C 73 46 03 00 00 00 00 00 sFsF...LsF...... 
Size: 


| Sector 8193 ot 413696 | Ofset 4003FF| =0 Block 4003FF - 4003FF | 


Æ 5.23 将 a03. doc 文 件 放 入 回收 站 前 ,] 盘 根 目录 下 a03. doc 文件 的 目录 项 存储 形式 


(2) 将 J 盘 根 目 录 下 的 a03. doc 文件 放 入 回收 站 后 

使 用 WinHex 软件 查看 丁 盘 根 目 录 下 a03. doc 文件 的 目录 项 如 图 5. 24 所 示 ; 与 图 5. 23 
比较 ,J 盘 根 目 录 下 a03. doc 文件 目录 项 第 1 个 字符 的 ASCII 码 由 0X41 变 为 0XE5, 而 
a03. doc 目录 项 的 其 他 内 容 没 有 发 生变 化 。 由 于 该 文件 目录 项 第 1 个 字符 的 ASCII 码 已 经 被 
修改 为 0XE5 ,所 以 在 资源 管理 器 中 查看 丁 盘 的 根 目录 时 将 不 显示 该 文件 名 。 

(3) 将 回收 站 清空 后 

J 盘 根 目录 下 a03. doc 文件 的 目录 项 与 清空 回收 站 前 相同 ,未 发 生变 化 。 

2) Xf J # $ RECYCLE. BIN 文件 夹 的 影响 

(1) 将 J 盘 根 目 录 下 a03. doc 文件 放 入 回收 站 前 

使 用 WinHex 软件 查看 $ RECYCLE. BIN 文件 夹 ,所 存储 的 文件 如 图 5. 25 所 示 。 从 


Physical seclor No- 8321 
Logical sector No- 8193 


@ 大 话 数据 恢复 


25 min ago 20 fles, 26+1=27 d 


201503719 09:3247 
10KB 20150349 09:3247 8196 


Offset | 0 1 2 
004003A0 |41 30 31 20 7 TE 
00400380 |73 46 33 43 97 D4 52 00 00 00 -FsF..BP1C10R... 
04003C0 |41 30 54 58 54 20 18 6A 22 4C | A02 Tr jE 
04003D0 j 46 00 00 2E 78 FA 3E 00 00 00 00 00 00| sFsF...xů>...... 
004003E0 33 20 20 20 20 20 44 4F 43 20 18 6A 22 4C | &03 DOC .j"L 
004003F0 AS 46 00 00 OC sF... 
00400400 | 2E 20 20 20 20 20 20 20 20 20 20 10 00 B7 17 4C. s 
00400410 |73 46 73 46 00 00 18 4C 73 46 03 00 00 00 00 OO sFsF...LsF.. 
| Ofset 4003FF | =0) Block 4003FF - 4003FF | Size: 


Physical sedorNo: 8321 
LogicalsedorNo: 8193 


| Sector 8193 of 413696 


图 5.24 将 a03. doc 文 件 放 入 回收 站 后 ,J 盘 根 目录 下 a03. doc 文件 的 目录 项 存储 形式 


图 5.25 TA, Æ J Æ $ RECYCLE. BIN 文件 夹 中 ,除了 “.” 和 “..” 目 录 项 外 ,还 存储 着 
desktop. ini 文件 。 


TOKE 201503710 0923305 
10 KE 201503719 095731 


10KB 201503719 093405 sh ama 
a 272 KB 201503719 093305 A 116490 

Offset 0 1234567 9 9ABCDEFrF JS | 

03932400 |2E 20 20 20 20 20 20 29 ZO 20 29 1000 78 42 £ |. xBL 

03932410 Z; z. 00 00 00 00 00 00 | SFF. .CLeFËÒ.. 


03932440 |44 45 53 4B 54 4F 50 20 49 4E 49 26 18 7A 42 4C DESKTOP INIS. 
03932450 73 46 73 46 00 00 43 4C 73 46 CC D4 81 00 OO OO sFsF..CLsFÌÒ. 
03932460 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 

EEEE li 


图 5.25 a03. doc 文件 放 入 回收 站 前 ,J 盘 $RECYCLE. BIN 文件 夹 所 存储 的 文件 


(2) 将 本 盘 根 目录 下 的 a03. doc 文件 放 入 回收 站 后 

使 用 WinHex 软件 查看 $ RECYCLE. BIN 文件 夹 , 所 存储 的 文件 如 图 5. 26 所 示 。 与 
图 5. 25 比较 ,在 $ RECYCLE. BIN 文件 夹 下 添加 了 两 文件 ,一 个 文件 名 为 $ I6BZFCT. doc, 
另 一 文件 名 为 $ R6BZFCT. doc; $ 16BZFCT. doc 开始 簇 号 = 二 0X10002, 实 际 大 小 为 0X220 F 
节 ; $ R6BZFCT. doc JF t fik -= = 0XD498, 实际 大 小 为 0X7A00 字 节 。 也 就 是 说 ,文件 
$ R6BZFCT. doc 的 开始 簇 号 、 实 际 大 小 与 删除 a03. doc 前 的 开始 簇 号 、 实 际 大 小 完全 相同 。 


Physical sector No.: 117266 
Logical sector No: 117138 


Sector 117138 01413096 


1 min ago 3mes0dr | 
Si6bddtdoc doc 0.5KB 2015/05/05 16:19:20 A 139264 
Sr6bzict doc doc 30.5 KB 2015/03/19 09:33:05 A 117036 
|J deskopini ini 129 B 2015/03/19 09:34:05 SHA 117140 
=n KA E orr t [o í 2 3 4 S 6 7 G 9 A 5 C p E FEAN = 
File systeme FAT32 | 03932400 |2E 20 20 20 20 20 20 20 20 20 20 10 00 78 42 4C | . xBL 
HBcD4 | 03932410 |73 46 73 46 00 00 43 4C 73 46 CB D4 00 00 00 00| sFsF..CLsFË0.. 
03932420 |2E 2E 20 20 20 20 20 20 20 20 20 10 00 78 42 4C |. .BL 


03932430 |73 46 73 46 00 00 43 4C 73 46 00 00 00 00 00 OO | sFsF..CLsF...... a 
03932440 |44 45 53 4B 54 4F 50 20 49 4E 49 26 18 7A 42 4C DESKTOP INI&.zBL 
03932450 73 46 AS 46 00 00 43 4C 73 46 CC D4 81 00 00 00 sFWF..CLsF1Ó 
03932460 
03932470 
03932480 |24 52 36 42 5A 46 43 54 44 4F 43 20 10 6À 22 4C SR6BZFCTDOC . 
03932490 [73 46 as 46[00 vol oc 49 73 hien 00 7A 00 00 | sFYF 
039324A0 |00 00 00 00 00 00 00 00 0000 00 OO 00 00 00 00 


na3q32?4Bn nn nn nn nn nn nn nn nn nn nn nn nn nn nn nn nn 
OWset 39324CF = 0 Block 


Physical sector No.: 117266 
Logical sedor No- 117138 


Sector 117138 of 413696 


图 5.26 a03. doc 文 件 放 入 回收 站 后 ,J 盘 $ RECYCLE. BIN 文件 夹 所 存储 的 文件 


使 用 WinHex {AFHI J Æ $ RECYCLE. BIN 文件 夹 下 的 $16BZFCT. doc 文件 ,其 内 容 
如 图 5. 27 所 示 。 从 图 5. 27 可 知 ,在 $16BZFCT. doc 文件 中 存储 着 被 删除 文件 大 小 ,被 删除 
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文件 的 日 期 和 时 间 , 被 删除 文件 的 盘 符 、 路 径 和 文件 名 的 Unicode 码 等 信息 。 


04400000 
04400010 
04400020 
04400030 
04400040 
04400050 00 00 00 00 00 00 00 


Offset 440003F 


0 00 00 OO ... 
a Q0 00 OO ... 


被 删除 文件 的 盘 符 、 路 径 和 文件 名 的 Unicode 码 


Physical sector No- 139392 
Logical sector No: 139264 
Sector 139264 of 413696 


图 5.27 $I6BZFCT. doc 文件 的 内 容 


在 资源 管理 器 中 查看 回收 站 文件 夹 , 其 内 容 如 图 5. 28 所 示 , 从 回收 站 中 所 看 到 的 盘 符 .路 
径 文件 名 、 删 除 日 期 和 文件 大 小 均 是 $I6BZFCT. doc 文件 中 所 存储 的 内 容 。 


加 ABCD4 J) Í aan 大 小 项 目 类 型 


B usna wm | oc 2015/5/5 1619 31KB Microsoft Word zë 2013/3/19 908 


K. LL] 


5.28 在 回收 站 文件 夹 中 所 查看 到 被 删除 的 文件 a03. doc 


(3) 将 回收 站 清空 后 

J # $ RECYCLE. BIN 文件 夹 所 存储 的 文件 如 图 5. 29 所 示 。 从 图 5.29 可 知 ,J 盘 
$ RECYCLE. BIN 文件 夹 中 的 $16BZFCT. doc 文件 名 项 和 $R6BZFCT. doc 文件 名 项 首 字 
母 的 ASCH 码 已 经 变 为 0XE5 ,表示 这 两 个 文件 已 从 J 盘 $ RECYCLE. BIN 中 删除 。 


mive 5: | 
WRECYCLE BIN Tmn ago T23 Mes, 0 dr 
peze Tea- Tsue Toreateg Jam [istsegor 
>) 6bzct doc doc 05KB 2015/05/05 16-1920 A 8192 
| J wsazctaoc doc 305KB 201503/19 093305 A 117036 
口 wesnopm ini 129 B 20150319 093405 SHA 317140 
Drive J: 73% free | Offset 0 1 2 3 4 5 6 7 8 9A B CC D E F Jx ` . 


File system: FAra2 | 03932400 2E 20 20 20 20 20 20 20 20 20 20 10 00 78 42 4C `. +. xBL 
Volume labet ABCD4 | 03932410 73 46 73 46 DO 00 43 4C 73 46 CB D4 00 00 00 OO sFsF..CLsFËÔ.... 
03932420 2E 2E 20 20 20 20 20 20 20 20 20 10 00 78 42 4C.. .xzBL 
Aloe ofMsibla dve space' | 03932430 | 73 46 73 46 00 00 43 4C 73 46 00 00 00 00 00 OO sFsF..CLsF...... 

CR 54475 | 03932440 44 45 53 4B 54 4F SO 20 49 4E 49 26 18 7A 42 4C | DESKTOP INI&.zBL 国 
SRECYCLEBIN | 03932450 73 46 A8 46 00 00 43 4C 73 46 CC D4 81 00 00 00 esF °F, .CLsFiO,... 
03932460 [ES 49 36 42 SA 46 43 54 44 4F 43 20 10 57 6A 82 aI6BZFCTDOC .Wjl 
03932470 [AS 46 A7 46 00 00 6B 82 AS 46 02 00 20 02 00 00 ¥FSF..kI¥F.. ... 
Physical secor No: 117266 | 03932480 [ES 52 36 42 SA 46 43 54 44 4F 43 20 10 6A 22 4C AR6BZFCTDOC .)"L 
Logical sedor No- 117138 | 03932490 | 73 46 AS 46 00 00 OC 49 73 42 98 D4 00 7A 00 00 sFVF...IsBIÓ.z.. 


Snapshottaken 1 min ago 


039324A0 
Sector 117138 of 413696 Oset 39324AF = 0 Blode 39324AF - 39324AF | Size: 1 


图 5.29 清空 回收 站 后 ,J # $ RECYCLE. BIN 文件 夹 中 所 存储 的 文件 


3) 对 FATI1 表 和 FAT2 表 的 影响 

(1) 将 J 盘 根 目 录 下 的 a03. doc 文件 放 入 回收 站 前 

通过 a03. doc 文件 名 目录 项 可 知 ,a03. doc 文件 内 容 的 开始 簇 号 为 54424, 占 31232 字 节 
空间 。 由 式 (5.16) 可 知 : 


@ 大 话 数据 恢复 


54424 号 簇 项 在 FAT RAKI = INT( 簇 号 项 /128) 十 1 
= INT(54424/128) 十 1 
一 425 


日 式 (5. 1D 可知: 
54424 号 簇 项 在 FAT 表 中 的 扇 区 偏 移 地 址 = 4 x MOD( 簇 号 项 ,128) 十 N 一 1 
= 4 X MOD(54424,128) TN —1 


= {96,97,98,99} 
54424 号 簇 项 在 FAT 表 的 第 425 号 扇 区 , 扇 区 偏 移 为 96 一 99( 即 0X60—0X63)4F; 从 J 
盘 的 DBR 可 知 ,保留 扇 区 数 为 5022 ,每 个 FAT 表 占 用 扇 区 数 为 1585。 所 以 54424 号 簇 项 在 J 
盘 的 5447 号 扇 区 (针对 FATI 表 ) 偏 移 为 96 一 99( 即 0X60 一 0X63) 处 。a03. doc 文件 内 容 在 
FATI 表 中 的 文件 分 配 表 存 储 形式 如 图 5. 30 所 示 。 从 图 5.30 可 知 ,a03. doc 文件 在 J 盘 中 的 
存储 是 连续 的 。 根 据 图 5. 30 可 以 画 出 a03. doc 文件 的 文件 分 配 链表 如 图 5. 31 所 示 。 


[22 D4 00 ooJsSA D4 00 00 9B D4 00 00 9C D4 00 00 
9D D4 00 00 9E D4 00 00 9F D4 00 00 AO D4 OO 00| .ó.. 
Al D4 00 00 A2 D4 00 OO A3 D4 00 00 A4 D4 00 00 
AS D4 00 00 A6 D4 00 OO A7 D4 00 00 A8 D4 00 00 
A9 D4 00 00 AA D4 00 00 AB D4 00 00 AC D4 00 00 
AD D4 00 00 AE D4 00 00 AF D4 00 00 BO D4 00 00 
002ABECO | B1 D4 00 00 B2 D4 00 OO B3 D4 00 00 B4 D4 00 DD 
002A8ED0 [BS D4 00 00 B6 D4 00 00 
002ABEED |B9 D4 00 DO BA D4 00 00 BB D4 00 Ù 
002ABEFO |BD D4 00 00 BE D4 00 OO BF D4 00 00 
002A8F00 |C1 D4 00 00 C2 D4 00 OO C3 D4 P> 
002A8F10 |CS D4 00 00 C6 D4 00 00 C7 D4| 0XD4B6 簇 号 项 位 置 所 存储 的 内 容 
2A8EDS =255| Block 


002A8E80 
002A8E90 


002A8EA0 
002A8EB0 


FF FF FF OF 
RQ D4 00 00 


图 5.30 a03. doc XFA h #& S E FAT2 表 中 文件 分 配 表 的 存储 形式 


D49854% D4954 “D49A 号 簇 项 D4B5 号 簇 项  D4B65 PEM 
0000D49A | 一 | 0000D49B —= …………… = |oooopaps OFFFFFFF 


5.31 a03.doc 文件 的 文件 分 配 链表 ( 注 : 图 中 的 数据 均 为 十 六 进 制 ) 


Y 


0000D499 


由 式 (5. 20) 可 以 计算 出 a03. doc 文件 所 占 簇 数 。 
a03. doc 文件 所 占 簇 数 二 ROUNDUP(a03. doc 文件 所 占 字 节 数 / (每 个 簇 的 扇 区 数 X< 512) ,0) 
= ROUNDUP(31232/(2 X 512) ,0) = 31 
a03. doc 文件 内 容 开 始 簇 号 为 54424( 即 0XD498) ,由 于 a03. doc 文件 在 J 盘 上 的 存储 是 
连续 的 ,所 以 a03. doc 文件 内 容 结 束 簇 号 为 54454( 即 0XD4B6)。 
由 式 (5.16) 可 知 : 
54454 号 得 项 在 FAT 表 的 扇 区 号 = INT( 簇 号 项 /128) 十 1 = INT(54454/128) 十 1 
一 425 
由 式 (5.17) 可 知 : 
54454 FIRME FAT 表 中 的 扇 区 偏 移 == 4 x MOD( 簇 号 项 ,128) 十 N 一 1 
= 4 X MOD(54454,128) + N— 1 
= {216,217 ,218,219} 
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所 以 ,a03. doc 文件 的 分 配 链 表 在 FAT 表 ( 即 FATI KA FAT? 表 ) 中 的 位 置 为 425 Z B 
区 ,开始 簇 号 在 FAT 表 中 的 扇 区 偏 移 为 0X60 一 0X63( 即 98 一 99) ,而 结束 簇 号 在 FAT 表 中 的 
扇 区 偏 移 为 0XD8~0XDB( 即 216 一 219) 。 
HF FATI 表 在 丁 盘 的 开始 扇 区 号 为 5022, 每 个 簇 的 扇 区 数 为 1585,FAT2 KE J 盘 的 
开始 扇 区 号 为 6607。 

因此 ,a03. doc 文件 的 分 配 链表 在 J 盘 的 5447 号 扇 区 (针对 FAT1 表 ) 和 7032 号 扇 区 ( 针 
对 FAT2 表 ),a03. doc 文件 内 容 开 始 簇 号 的 扇 区 偏 移 为 0X60 一 0X63 ,而 结束 簇 号 的 扇 区 偏 移 
为 0XD8—0XDB, 

将 光标 移动 到 丁 盘 7032 号 扇 区 ,在 左 侧 Cluster No. 的 下 方 显示 “FAT2”, 在 窗口 左下 角 
显示 “Sector 7032 of 413696”, 如 图 5. 32 所 示 ,对 比 图 5. 30 和 图 5. 32 可 知 , 这 两 个 图 所 显示 
的 内 容 完 全 一 样 。 


Offset 


1 2 3 4567 


8 9 A 


002A8E50 Y> D4 00 00 96 D4 00 00 FF FF FF 
002A8E60 [39 p4 00 00JSA D4 00 00 9B D4 00 00 9C D4 00 00) Ió 


002A8E70 
002A8E80 
002A8E90 
002A8EA0 
002A8EB0 


9D D4 00 00 9E D4 00 00 9F D4 00 00 AO D4 00 00 
A1 D4 00 00 A2 D4 00 00 A3 D4 00 00 A4 D4 00 00 
AS D4 00 00 A6 D4 00 00 A7 D4 00 00 A8 D4 00 00 
A9 D4 OO OO AA D4 00 00 AB D4 00 00 AC D4 00 00 
AD D4 00 00 AE D4 00 00 AF D4 00 00 BO D4 00 00 
002ABECO |B1 D4 00 00 B2 D4 00 00 B3 D4 00 00 B4 D4 00 00 
002A8ED0 (B5 D4 00 00 B6 D4 00 00 

002ABEEO |B9 D4 00 00 BA D4 00 00 BB D4 00 | —& . 
002ABEFO BD D4 00 00 BE D4 00 00 BF D4 00 00 00 10. xò. i 
202M8 | 002A8F00 C1 D4 00 00 C2 D4 00 00 C3 p 

002A8F10 CS D4 00 00 C6 D4 00 00 C7 1 0XD4B6/5 = NL BETERRI AA 

2A8ED8| =255| Bock ce 


5.32 a03. doc X fB h S Hi fE FAT2 表 中 的 存储 形式 


经 计算 ,65538 号 得 项 在 FAT 表 的 位 置 为 第 512 号 扇 区 , 即 丁 盘 的 5534 号 扇 区 (针对 
FAT1 表 ) 和 7119 号 扇 区 (针对 FAT2 表 ), 扇 区 偏 移 为 0X08 一 0XOB, 所 存储 的 内 容 为 
00000000, 如 图 5. 33 所 示 。 


20KB 


Offset 0 1234567 8 coer ISe 一 
Sa2mp | 00263BF0 00 00 00 00 00 00 00 00 00 00\ <00 00 00 00 OO .. 
002B3c00 00 00 00 00 00 00 00 00 [00 00 00 oojoo 00 00 oO .. 


002B3C10 00 00 00 00 00 00 00 00 000000 OO 00 00 00 00 
002B3c20 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
002Bsc30 OO 00 OO 00 00 OO 00 00 00 00 00 OO 00 00 00 00 
5 002B3C40 00 00 DO 00 00 00 00 00 00 00 00 00 00 00 00 00 

T Offset 283C08| = 0 Block na| Size: maj 


Æ 5.33 a03. doc 文件 放 入 回收 站 前 ,65538 SIME FAT1 表 中 的 位 置 


(2) 将 本 盘 根 目录 下 的 a03. doc 文件 放 和 人 回收 站 后 

将 本 盘 根 目录 下 的 a03. doc 文件 放 入 回收 站 后 ,对 a03. doc 文件 所 占 的 文件 分 配 链表 没 
有 影响 。 由 于 在 回收 站 中 新 建立 了 两 个 文件 ,文件 名 分 别 为 $I6BZFCT. doc # $ R6 BZFCT 
. doc, 文 件 $R6BZFCT. doc 的 开始 簇 号 和 实际 大 小 也 就 是 a03. doc 的 开始 簇 号 和 实际 大 小 ， 
所 以 新 建立 的 $ R6BZFCT. doc 文件 对 FAT 表 没 有 影响 。 

而 新 建立 的 $16BZFCT. doc 文件 开始 簇 号 为 65538, 占 544 字 节 空间 ,FAT32 文件 系统 


@ 大 话 数据 恢复 


将 分 配 一 个 簇 的 空间 给 $ 16BZFCT. doc 文件 。65538 SIE FAT 表 的 位 置 为 第 512 号 扇 
区 , 即 J 盘 的 5534 号 扇 区 (针对 FAT1 表 ) 和 7119 号 扇 区 (针对 FAT2 表 ), 扇 区 偏 移 为 0X08 一 
0X0B, 所 存储 的 内 容 为 0XOFFFFFFF( 存 储 形式 为 FF FF FF 0F) ,如 图 5.34 所 示 。 


Drive J: | 
1 Mes, 26+1=27 dir, 
Tana, [s= Isz IG 0X10002(Bp65538) 谋 号 项 位 置 所 存储 的 内 容 站 
à ; 01234567 89 DEN B 
00 00 00 00 00 00 00 00 00 00| (Q 00 00 00 00 -8 
002B3C00 OO 00 00 00 00 00 00 00 [FF FF FF ofjoo oo 00 OO . 
0028310 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 OO . 
0028320 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 . 
002B3c30 00 00 00 00 00 00 00 00 OD 00 00 00 OO 00 OD OD . 
002B3C40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 š 
Ofset 28308; =0 Block ma) Sze: mal 
5.34 a03. doc 文件 放 入 回收 站 后 ,J] 盘 FAT1 的 65538 号 簇 项 所 在 位 置 内 容 


(3) 将 回收 站 清空 

回收 站 清空 后 , $ R6BZFCT. doc 文件 所 占据 的 文件 分 配 表 ( 即 a03. doc 放 入 回收 站 前 所 
占据 ) 已 被 置 为 00000000, 如 图 5. 35 所 示 , 即 从 0XD498 号 簇 至 0XD4B6 号 簇 已 经 成 为 自 
HÍR. 


Rool areaony 
Alloc. of visible drive space: 


Offset 
002A8E50 
002ABE60 
002A6E70 
002ABE80 
002A8E90 
002ABEA0 
002ABEBO 
002A8ECD 
002ABEDO 
002A8EE0 
002ABEFO 
002A8F00 
002ABF10 


234567 8 
2 aon 中 96 D4 00 00 FF 
[oo oo 00 00]o0 00 00 00 
00 or z] 0 00 00 00 00 
0 00 
0 


00 00 00 00 00 00 00 00 
00 00 00 00 00 00 00 00 
00 00 00 00 00 00 00 00 
00 00 00 00 00 00 00 00 
00 00 00 00 00 00 00 00 
00 00 00 00 00 00 00 00 
B9 D4 00 00 BA D4 00 00 
BD D4 00 00 BE D4 00 00 
C1 D4 00 00 C2 D4 00 00 
CS D4 00 00 C6 D4 00 00 
2A8ED8| =255 


ol 
ol 


FF 
00 00 00 00 00 00 
00 00 00 00 00 00 
00 00 00 00 00 00 
00 00 00 00 00 00 
00 00 00 00 00 00 
00 00 00 00 00 00 
00 00 a 00 00 00 


OF 


oof. 
o0 
o0 
o0 
o0 
o0 


图 5.35 清空 回收 站 后 ,a03. doc Bf (8 #Ë 5 E BA 00 


而 $I6BZFCT. doc 文件 所 占据 的 文件 分 配 表 已 经 被 置 为 00, 如 图 5. 36 所 示 , 即 0X10002 


FREIRA A HÍR. 


FU] 


Offset 
002B3BF0 
002B3C00 
002B3C10 
002B3C20 
00263c30 
002B3C40 
00263c50 


二 0X10002(Bh65538) 络 号 项 位 置 所 存储 的 内 容 天 
0 1 2 3 4 9 SA OD E FZI 
oo 00 oo oo oo oo oo OU——M0 oo oo 00 oo oo 00 00 


00 00 
00 00 
00 00 
00 00 
00 00 
00 00 


00 00 00 OO OO 00 [oo 00 00 00]00 00 00 00 


00 00 00 00 00 00 
00 00 00 00 00 00 
00 00 00 00 00 00 
00 00 00 00 00 00 
00 00 00 00 00 00 


00 00 00 00 00 00 00 . 
00 00 00 OO 00 00 00 . 
00 00 00 OO OO OO 00 
00 00 00 00 00 00 00 
00 00 00 00 00 00 00 

ma Size: 


图 5.36 清空 回收 站 后 ,J # FAT1 表 的 65538 540 r A A “00000000” 


4) 对 本 盘 已 用 磁盘 空间 和 自由 磁盘 空间 的 影响 
a03. doc 文件 放 和 回收 站 前 、 回 收 后 与 清空 回收 站 丁 盘 已 使 用 空间 情况 见 表 5. 21 所 列 。 
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R 5.21 a03. doc 文件 放 入 回收 站 前 、 放 入 回收 站 后 与 清空 回收 站 丁 盘 空间 情况 变化 表 


出 除 文件 过 程 | so3. doc 放 入 回收 站 前 | a03. doc 放 入 回收 站 后 清空 回收 站 
丁 盘 已 使 用 空间 55 782 400 字 节 55 783 424 字 节 55 750 656 字 节 
丁 盘 自由 空间 151 835 648 字 节 151 834 624 字 节 151 867 392 字 节 
说 明 : 


(1) 将 a03. doc 文件 放 入 回收 站 前 ,从 图 5. 33 可 知 ,J 盘 已 使 用 空间 为 55 782 400 FH; 
空间 为 151 835 648 字 节 。 
(2) 将 a03. doc 文件 放 入 回收 站 后 ,从 图 5. 34 可 知 ,J 盘 已 使 用 空间 为 55 783 424 FH; 
而 自由 空间 为 151 834 624 FH; 由 于 在 丁 盘 回收 中 创建 了 两 个 文件 ,一 个 文件 名 为 
$ R6BZFCT. doc, 另 一 个 文件 名 为 $I6BZFCT. doc; $ R6BZFCT. doc 文件 的 开始 簇 号 也 就 
是 被 删除 文件 a03. doc 的 开始 簇 号 ,文件 大 小 也 就 是 a03. doc 文件 的 大 小 ,此 文件 对 丁 盘 的 空 
间 没 有 影响 。 而 创建 的 文件 $16BZFCT. doc 大 小 为 544 字 节 , 占 一 个 簇 的 空间 ,所 以 J 盘 的 
已 使 用 空间 增加 1 个 簇 ,自由 空间 减少 1 个 簇 即 1024 字 节 。 

(3) 将 回收 站 清空 后 ,从 图 5. 35 可 知 ,J 盘 已 使 用 空间 为 55 750 656 字 节 ; 而 自由 空间 为 
151 867 392 字 节 ; 与 a03. doc 文件 放 入 回收 站 前 相 比 较 ,J 盘 已 使 用 空间 减少 了 31744 FH, 
自由 空间 增加 了 31744 字 节 , 即 a03. doc 文件 所 占用 的 空间 已 被 释放 。 

注 : 删除 文件 夹 对 目录 项 ,回收 站 等 的 影响 与 删除 文件 对 目录 项 ,回收 站 的 影响 基本 
相同 。 


而 自 


思考 题 


QE: 在 本 章 思考 题 中 ,H 盘 是 指 “ZY5. vhd 文件 ”通过 计算 机 管理 中 的 磁盘 管理 功能 附 
加 后 所 产生 的 虚拟 硬盘 ) 
5.1 FAT32 文件 系统 主要 使 用 在 哪 几 种 外 存储 器 中 ? FAT32 文件 系统 由 哪 几 大 部 分 
组 成 ? 
5.2 FAT32 文件 系统 数据 区 的 开始 簇 号 是 几 号 ? 根 目录 的 开始 簇 号 又 是 几 号 ? 
简 述 FAT32 文件 系统 的 总 体 布局 。 
简 述 FAT16 与 FAT32 文件 系统 的 相同 点 和 不 同 点 。 
FAT32_DBR 由 哪 几 部 分 组 成 ? 
存储 在 FAT32 文件 系统 中 的 一 个 文件 由 哪 几 部 分 组 成 ? 请 简 述 各 部 分 之 间 的 


nnan an 
on e UUN 


5.7 在 Windows 7 操作 系统 下 ,叙述 删除 存储 在 FAT32 文件 系统 中 的 一 个 文件 (即将 
要 删除 的 文件 放 和 人 回收 站 ,并 将 回收 站 清空 ) 的 过 程 。 

5.8 H 盘 用 FAT32 文件 系统 格式 化 后 , 它 的 FAT32_DBR 位 于 整个 硬盘 的 128 号 扇 区 
( 即 H 盘 的 0 号 扇 区 ),FAT32_DBR 前 112 字 节 如 图 5. 37 所 示 ,请 回答 下 列 问题 : 

(1) 请 将 H 盘 FAT32_DBR 中 的 BPB 参数 填 人 到 表 5. 22 中 的 下 画 线 处 。 

(2) H ÈK FATI 表 开 始 扇 区 号 和 结束 扇 区 号 分 别 是 几 号 ? 对 于 整个 硬盘 扇 区 号 分 别 是 
几 号 ? FAT2 表 呢 ? 


@ 大 话 数据 恢复 


Jea [sue Tceaed Jam listsegor T 


Pariion 1 FAT32 3068 128 
| Offset 01234567 89ABC 
[Dia23 abcda sw | 
00010000 EB 58 90 4D 53 44 4F 53 35 2E 30 00 02 
DefautEdtmode | 00010010 02 00 00 00 00 F8 00 00 3F 00 FF 00 80 
State: original | 00010020 00 E8 SF 00 EB 17 00 00 00 00 00 00 02 


Undo levet: o| 00010030 01 00 o6 00 00 oo oo oo oo 00 00 00 00 OO 00 OO . 
Undoreverses: ma | 00010040 80 0029 43 6F 60 98 4E 4F 20 4E 41 4D 45 20 20| 1.)Co 
00010050 20 20 46 41 54 33 32 20 20 20 33 C9 8E D1 BC F4| FAT32 3ÉIÑv 
Totaicapaciy 30G8 | 00010060 7B 8E C1 8E D9 BD 00 7C 88 4E 02 8A 56 40 B4 41 {IÁIÙ⁄. | IN. IVe” 
Sedor 128 of 6291457 J omset 1002F} =0] | Block 1002F - 1002F_ Sze: a 


5.37 H 盘 的 FAT32_DBR 前 112 FW 


表 5.22 H # FAT32_DBR 的 BPB 参数 


字 节 偏 移 | 字 节 数 z & X 
十 进 制 十 六 进 制 存储 形式 
0X00 Š 略 略 EB 58 跳 转 指令 
0X02 1 略 略 90 空 操作 指令 
4D 53 44 4F J 
0X03 8 略 略 0 OEM( 即 厂商 标志 ) ,长 度 为 8 个 字符 
0X0B r: 每 个 扇 区 的 字 节 数 
0X0D 1 每 个 簇 的 扇 区 数 
0X0E r: 保留 扇 区 数 
0X10 1 FAT 表 的 个 数 , 本 字段 的 值 一 般 为 2 
0X11 2 00 00 00 00 对 于 FAT32 分 区 ,本 字段 必须 设置 为 00 
OX13 00 00 00 00 对 于 FAT32 分 区 ,本 字段 必须 设置 为 00 
0X15 1 略 略 略 0XF8 表示 硬盘 、U 盘 、SD 卡 等 
0X16 2 00 00 00 00 对 FAT32 分 区 ,本 字段 必须 设置 为 00 
0X18 2 扇 区 数 /每 磁道 
OX1A Žž 磁头 数 
0X1C 4 ERUN P< 22 
0X20 4 该 分 区 总 扇 区 数 
0X24 4 每 FAT 表 占 扇 区 数 
0X28 2 0 0 00 00 扩展 标志 
0X2A 2 0 0 00 00 文件 系统 版 本 
0X2C 4 0 Š 02 00 00 00 | 根 目录 开始 簇 号 ,一 般 为 2 
0X30 2 1 1 01 00 文件 系统 信息 所 在 扇 区 号 ,一 般 为 1 
0X32 2 6 6 06 00 DBR 备份 所 在 扇 区 号 ,一般 为 6 
0X34 12 略 略 略 保留 , 供 以 后 扩充 使 用 的 保留 空间 


G) H 盘 的 总 扇 区 数 是 多 少 ? 请 计算 H 盘 的 总 容量 ,H 盘 的 总 容量 等 于 用 户 通过 查看 H 
盘 属 性 报告 的 容量 吗 ? 为 什么 ? 

(4) 用 户 通过 H 盘 属 性 查看 到 H 盘 的 容量 为 3 209 691 136 字 节 ( 即 2. 98GB); 请 通过 H 
盘 的 FAT32_DBR 参数 来 验证 该 数据 的 正确 性 。 

(5) H 盘 的 开始 簇 号 为 2, 即 根 目 录 的 开始 簇 号 ,请 计算 H 盘 的 结束 簇 号 。 

(6) H 盘 的 开始 扇 区 号 是 0, 请 计算 H 盘 的 结束 扇 区 号 。 

(7) 计算 H 盘 的 结束 簇 号 项 分 别 在 FAT1 RA FAT? 表 中 的 位 置 ( 即 在 H 盘 的 扇 区 号 和 
扇 区 偏 移 , 注 : 0 号 扇 区 为 H 盘 FAT32_DBR 所 在 扇 区 号 ) 。 
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(8) 根据 H 盘 每 个 FAT 表 占 用 扇 区 数 , 计 算 该 FAT 表 可 以 表示 的 最 小 磁盘 空间 和 最 大 
磁盘 空间 (单位 : FH). 

(9) 按 示例 将 表 5.23 中 H 盘 的 簇 号 转换 成 H 盘 对 应 的 扇 区 号 范围 以 及 整个 硬盘 的 扇 区 
号 范围 ,并 将 结果 填 和 到 表 5. 23 对 应 单元 格 中 。 


表 5.23 HH 盘 徐 号 转换 成 对 应 的 扇 区 号 


HARG 3( 示 例 ) 10 500 5000 10892 


对 应 H 盘 扇 区 号 范围 16392 一 16399 ~ 一 一 ~ 
对 应 整个 硬盘 扇 区 号 范围 。 16520 一 16527 et ses <“ 一 


(10) 按 示 例 将 表 5. 24 中 互 盘 的 扇 区 号 转换 成 对 应 H 盘 的 簇 号 , 青 将 H 盘 的 得 号 转换 
为 对 应 H 盘 的 扇 区 号 范围 ; 并 将 结果 填 人 到 表 5. 24 对 应 单元 格 中 。 
表 5.24 旦 盘 续 号 转换 成 对 应 的 扇 区 号 
对 应 H 盘 簇 号 2 


H 盘 扇 区 号 16391( 示 例 ) 17676 494177 732071 970108 
对 应 H 盘 扇 区 号 范围 16384 一 16391 一 一 ~ 2 


(11) H 盘 对 应 的 分 区 形式 为 MBR, 且 分 区 表 存 储 在 整个 硬盘 0 号 扇 区 偏 移 oX1BE— 
0X1CD 处 ,请 写 出 H 盘 对 应 的 MBR 分 区 表 ( 存 储 形 式 ) 。 
(12) 将 整个 硬盘 扇 区 号 H 盘 扇 区 号 与 徐 号 的 对 应 关系 填 人 到 表 5. 25 下 画 线 处 。 


表 5.25 ”整个 硬盘 扇 区 号 H 盘 扇 区 号 与 徐 号 的 对 应 关系 表 


整个 硬盘 H 盘 的 逻辑 所 占 
肩 区 用 途 | 逻辑 让 区 号 AKS ali m 站 ara | š 
不 能 通过 逻辑 盘 分 区 表 到 DBR 的 
相对 扇 区 0 一 127 裔 区 进行 存 取 mx = 128 
128 0 FAT32_DBR $ 
129 1 不 能 通 | FSINFO 1 
130—133 2—5 过 艇 的 | 未 用 4 
RERE 134 6 方式 进 | DBR 备份 1 
135 7 行 存 取 | FSINFO 备份 
> ae 未 用 
FATI HNE ~ ~ FATI 表 H # 
FAT2 表 占 扇 区 ~ ~ FAT2 表 
一 ~ 2 根 目 录 开 始 簇 号 
~ ~ 3 
根 目录 的 下 一 个 
人 4 | 秘 . 子 目录 和 数据 
= 办 KG 存放 位 置 _ 
未 分 区 的 扇 区 略 略 


(13) 假设 该 逻辑 盘 没 有 分 区 表 , 即 将 整个 硬盘 128 号 扇 区 的 FAT32_DBR 存放 在 整个 硬 
盘 的 0 号 扇 区 ,需要 修改 整个 硬盘 0 号 扇 区 FAT32_DBR 的 哪 几 个 参数 ? 修改 为 何 值 ? 才能 
使 得 该 FAT32 文件 系统 能 够 正常 工作 。 


@ 大 话 数据 恢复 


5.9 H 盘 的 文件 系统 是 FAT32,FAT32_DBR 如 题 5. 8 所 述 ,FATI1 表 前 160 字 节 如 图 
5.38 所 示 ,请 回答 下 列 问题 。 


Offset 01234567 89ABCD ER 
00205400 F8 FF FF OF FF FF FF FF FF FF FF OF FF FF FF OF ?.. 
00205410 FF FF FF OF FF FF FF OF FF FF FF OF FF FF FF OF 
00205420 FF FF FF OF ØD 00 00 00 FF FF FF OF FF FF FF OF 
00205430 FF FF FF OF OE 00 00 00 OF 00 00 00 10 00 00 00 
00205440 FF FF FF OF 17 00 00 00 13 00 00 00 14 00 00 00 
00205450 15 00 00 00 16 00 00 00 FF FF FF OF 18 00 00 00 
00205460 19 00 00 00 FF FF FF OF 18 00 00 00 1C 00 00 00 
00205470 ZD 00 00 00 IE 00 00 00 FF FF FF OF 20 00 00 00 
00205480 21 00 00 00 FF FF FF OF FF FF FF OF 24 00 00 00 
00205490 25 00 00 00 26 00 00 00 FF FF FF OF FF FF FF OF 


B 5.38 3 H # ñ FAT1 表 前 160 字 节 


(1) Æ FATI 表 前 160 字 节 中 ,共存 储 多 少 个 文件 ( 夹 ) 的 分 配 表 ? 请 分 别 写 出 占据 1 个 
E2 个 簇 ,3 个 簇 .4 个 徐 和 5 个 簇 的 文件 ( 夹 ) 数 量 ( 注 : 不 包括 根 目录 )。 
(2) H 盘 根 目录 占据 了 哪 几 个 得 号 ? 对 应 的 扇 区 号 分 别 是 多 少 ? 

(3) A12 文件 夹 开始 簇 号 为 0X09 ,从 图 5.38 TA, A12 文件 夹 占 据 了 哪 几 个 簇 号 ?对 应 


的 扇 区 号 分 别 是 多 少 ? 假设 每 个 目录 项 占 32 字 节 ,请 问 在 Al12 文件 夹 中 最 多 只 能 存放 多 少 
个 文件 目录 项 ? 也 就 是 说 , 当 Al12 文件 夹 中 存储 的 目录 项 超过 多 少 个 时 ? A12 文件 夹 再 申请 
添加 一 个 簇 ( 注 ; 在 A12 文件 夹 中 已 有 两 个 目录 项 , 即 “. ”和 *..”)。 

(4) 某 文件 开始 簇 号 为 0X01A, 从 图 5.38 可 知 ,该 文件 在 H 盘 上 是 否 连续 存储 ? 为 什 
Z? 该 文件 内 容 共 占据 了 哪 几 个 簇 号 ? 对 应 的 扁 区 号 分 别 是 多 少 ? 请 画 出 该 文件 所 占 簇 号 的 
链表 图 ; 请 计算 该 文件 内 容 实 际 大 小 的 范围 ( 即 该 文件 内 容 的 最 小 空间 和 最 大 空间 ), 当 该 文 
件 内 容 小 于 最 小 空间 时 ,H 盘 为 该 文件 减少 一 个 簇 , 当 该 文件 内 容 大 于 最 大 空间 时 ,H 盘 为 该 
文件 青 申请 添加 一 个 簇 。 

5.10 H 盘 的 文件 系统 是 FAT32,FAT32_DBR 如 题 5. 9 所 示 , 根 目录 原 代码 如 图 5. 39 
所 示 , 请 回答 下 列 问题 : 


Offset 01234567 89ABCDEF 

00800000 DO C2 BC D3 BE ED 20 20 20 20 20 08 00 00 00 00 新 加 卷  ..... 
00800010 00 00 00 00 00 00 42 4C BC 46 00 00 00 00 00 00 ...... BL38...... 
00800020 24 52 45 43 59 43 4C 45 42 49 4E 16 00 AB 48 4C $RECYCLEBIN.. ## L 
00800030 BC 46 BC 46 00 00 49 4C BC 46 03 00 00 00 00 00 WPB.. IL#...... 
00800040 41 30 31 20 20 20 20 20 20 20 20 10 08 23 73 4C P 
00800050 BC 46 BC 46 00 00 OE 59 5E 43 05 00 00 00 00 00 

00800060 41 30 32 20 20 20 20 20 20 20 20 10 00 29 73 4C 

00800070 BC 46 BC 46 00 00 32 59 5E 43 08 00 00 00 00 00 

00800080 41 31 32 20 20 20 20 20 20 20 20 10 00 2C 73 4C 

00800090 BC 46 BC 46 00 00 4A 56 57 43 09 00 00 00 00 00 

008000A0 42 22 7D 15 5F EE 76 55 5F 29 00 OF 00 9E 00 00 

008000B0 FF FF FF FF FF FF FF FF FF FF 00 00 FF FF FF FF 

008000C0 01 41 00 31 00 32 00 28 00 58 5B OF 00 9E 3E 65 

008000D0 34 00 30 00 30 00 2A 4E 87 65 00 00 F6 4E 84 76 

008000E0 41 31 32 28 B4 E6 7E 31 20 20 20 10 00 64 73 4C 

008000F0 BC 46 BC 46 00 00 4A 56 57 43 11 00 00 00 00 00 

00800100 41 31 33 20 20 20 20 20 20 20 20 10 08 8E 73 4C 

00800110 BC 46 BC 46 00 00 4B 56 57 43 1F 00 00 00 00 00 

图 5.39 H2 5NR EOF AA 


00800120 
00800130 
00800140 
00800150 
00800160 
00800170 
00800180 
00800190 
008001A0 
008001B0 
008001C0 
008001D0 
008001E0 
008001F0 
00800200 
00800210 
00800220 
00800230 
00800240 
00800250 
00800260 
00800270 
00800280 
00800290 
008002A0 
008002B0 
008002C0 
008002D0 
008002E0 
008002F0 
00800300 
00800310 
00800320 
00800330 
00800340 
00800350 


00800360 
00800370 
00800380 
00800390 
008003A0 
008003B0 
008003C0 
008003D0 
008003E0 
008003F0 
00800400 
00800410 
00800420 
00800430 
00800440 
00800450 
00800460 
00800470 
00800480 
00800490 
008004A0 
008004B0 
008004C0 
008004D0 


42 15 5F EE 76 55 5F 29 
FF FF FF FF FF FF FF FF 
01 41 00 31 00 33 00 28 
31 00 30 00 30 00 2A 4E 
41 31 33 28 B4 E6 7E 31 
BC 46 BC 46 00 00 4B 56 
41 31 34 20 20 20 20 20 
BC 46 BC 46 00 00 4B 56 
41 31 35 20 20 20 20 20 
BC 46 BC 46 00 00 4B 56 
41 31 36 20 20 20 20 20 
BC 46 BC 46 00 00 4B 56 
41 31 37 20 20 20 20 20 
BC 46 BC 46 00 00 4B 56 
41 38 30 20 20 20 20 20 


41 31 30 30 B3 A4 7E 31 
BC 46 BC 46 00 00 4B 56 
42 22 7D 15 5F EE 76 55 
PP FF PF FF EF PP PE PP. 
01 41 00 36 00 30 00 30 
3E 65 36 00 30 00 30 00 
41 36 30 30 28 7E 31 20 
BC 46 BC 46 00 00 4C 56 
43 29 00 00 00 FF FF FF 
FF PF FF FF FF PR FF FF 


41 41 41 41 41 41 20 20 
BC 46 BC 46 00 00 D8 81 
41 61 00 62 00 63 00 64 
30 00 30 00 30 00 2A 4E 
41 42 43 44 28 31 7E 31 
BC 46 BC 46 00 00 52 56 
41 61 00 62 00 63 00 64 
30 00 30 00 30 00 2A 4E 
41 42 43 44 28 32 7E 31 
BC 46 BC 46 00 00 53 56 
42 30 00 28 00 31 00 33 
2A 4E 87 65 F6 4E 29 00 
01 61 00 62 00 63 00 64 
31 00 30 00 31 00 7E 00 
41 42 43 44 5F 41 7E 31 
BC 46 BC 46 00 00 07 53 
42 30 00 28 00 58 5B 3E 
30 00 30 00 2A 4E 87 65 
01 61 00 62 00 63 00 64 
31 00 30 00 31 00 7E 00 
41 42 43 44 5F 41 7E 32 
BC 46 BC 46 00 00 55 56 
42 39 00 28 00 31 00 32 
66 00 69 00 6C 00 65 00 


00 00 
FF PF 
00 58 
87 65 
20 20 
57 43 
20 20 
57 43 
20 20 
57 43 
20 20 
57 43 
20 20 
57 43 
20 20 
57 43 
00 7F 
FF FF 
20 20 


57 43 
00 30 
73 00 


图 5.39 


00 OF 00 9F FF FF 
00 00 FF FF FF FF 
5B OF 00 9F 3E 65 
00 00 F6 4E 22 7D 
20 10 00 AA 73 4C 
22 00 00 00 00 00 
20 10 08 B2 73 4C 
27 00 00 00 00 00 
20 10 08 B8 73 4C 
28 00 00 00 00 00 
20 10 08 BE 73 4C 
41 00 00 00 00 00 
20 10 08 2A 74 4C 
46 00 00 00 00 00 
20 10 08 30 74 4C 
47 00 00 00 00 00 
95 OF 00 2A 87 65 
00 00 FF FF FF FF 


20 10 00 40 74 4C 
49 00 00 00 00 00 
00 OF 00 BB 00 00 
00 00 FF FF FF FF 
00 OF 00 BB 58 5B 
00 00 87 65 F6 4E 
20 10 00 45 74 4C 
4A 00 00 00 00 00 
FF OF 00 BO FF FF 
00 00 FF FF FF FF 
00 OF 00 BO 30 00 
00 00 39 00 39 00 
00 OF 00 BO 30 00 
00 00 30 00 30 00 
20 10 00 76 74 4C 
54 00 00 00 00 00 
20 11 08 31 7A 4C 
A3 00 00 00 00 00 
20 10 08 33 7A 4C 
A5 00 00 00 00 00 
00 OF 00 2D 31 00 
00 00 F6 4E 29 00 
20 10 00 36 7A 4C 
A6 00 00 00 00 00 
00 OF 00 25 32 00 
00 00 F6 4E 29 00 
20 10 00 A8 7A 4C 
B1 00 00 00 00 00 
00 OF 00 OA 30 00 
00 00 FF FF FF FF 
00 OF 00 OA 61 00 
00 00 35 00 30 00 
20 10 00 9D 7B 4C 
C1 00 00 00 00 00 
00 OF 00 AA 33 00 
00 00 29 00 00 00 
00 OF 00 AA 61 00 
00 00 35 00 30 00 
20 10 00 56 7C 4C 
E6 00 00 00 00 00 


00 OF 00 4B 30 00 
00 00 29 00 00 00 


( 续 ) 
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B NU)... ? 
ALS CIL t 
1. 0. 0. *N B. 88”) 
Al3( 存 "1 .. 锋 L 
PHR. . KVWC”.... 
A14 EL 
H KVC’... 
A15 EL 
PAR.. KVWC(.... . 
A16 -L 
HPR. . KVWCA. . . . . 
A17 .tL 
900. . KVWCF. . . . . 
A80 Ou 
PUPR. . KVWCG. ... 
Aa. 1. 0. 0. . 2. +88 
MT... 


A100 长 "1 ..@tL 


B”}. MU). 

.A. 6.0.0. (... 3L 
>e6. 0. 0. *N. . Ef 
A600C1  ..EtL 
HUR. . LVWCJ. . . . 
Ov as ? 
.0.*N BERR 0... 9. 
0.0. ~. 9.9... 9. 9. 
sa, 1,0:0.0....9. 
(C XDel.0...0.0. 
A10000 1 vtL 
mR.. WET... 
AA zaia 
BURL. . H$ gC?.... 
AAAAAA .. 32L 
PRR. ?\C?... . 
了 全 
0. 0. 0. *N ISẸ. . 86). 
ABCD(171 ..6zL 
PUBL . RVWC?. . 
Aa. b. c. d. (. . . %2. 
0.0.0.*NUE.. 88). 


ABCD(2°1 .. aml 


@ 大 话 数据 恢复 


008004E0 01 61 00 62 00 63 00 64 00 5F 00 OF 00 4B 61 00 

008004F0 31 00 30 00 31 00 7E 00 62 00 00 00 32 00 39 00 

00800500 41 42 43 44 5F 41 7E 33 20 20 20 10 00 03 7D 4C 

00800510 BC 46 BC 46 00 00 56 56 57 43 F2 00 00 00 00 00 

00800520 41 30 33 20 20 20 20 20 54 58 54 20 18 A3 BA 4C 

00800530 BC 46 BC 46 00 00 03 81 B4 46 FC 00 D5 8B 42 07 

00800540 42 30 33 20 20 20 20 20 54 58 54 20 18 9C 1B 4D 

00800550 BC 46 BC 46 00 00 03 81 B4 46 25 75 D5 8B 42 07 

00800560 41 30 31 20 20 20 20 20 54 58 54 21 18 31 8A 4D 

00800570 BC 46 BC 46 00 00 03 81 B4 46 4E E9 D5 8B 42 07 

00800580 41 30 32 20 20 20 20 20 54 58 54 20 18 60 BC 4D 

00800590 BC 46 BC 46 01 00 03 81 B4 46 77 5D D5 8B 42 07 

008005A0 41 42 43 44 45 20 20 20 20 20 20 10 08 8B 54 4E 

008005B0 BC 46 BC 46 01 00 01 4E BC 46 AO D1 00 00 00 00 

008005C0 4B 55 4E 4D 49 4E 47 20 44 4F 43 20 18 A5 0D 4F KUNMING DOC .?0 
008005D0 BC 46 BC 46 01 00 01 60 63 44 B1 D1 00 80 00 00 3982... cD hk. €.. 
008005E0 53 48 41 4E 47 48 41 49 44 4F 43 20 18 8D OE 50 SHANGHAIDOC ... P 
008005F0 BC 46 BC 46 OB 00 91 8D 72 44 02 00 00 6A 00 00 $#$. .?rD... j.. 


(1) fE H RRE R FARA — bb h H 盘 的 卷 标 名 。 

(2) 在 根 目录 下 存储 有 几 个 子 目录 (文件 夹 )? 如 果子 目录 是 采用 长 文件 夹 名 命名 方式 ， 
请 写 出 长 文件 夹 名 所 对 应 的 短文 件 名 。 其 中 : 哪儿 个 子 目 录 的 属性 是 只 读 ? 哪 几 个 子 目 录 的 
属性 是 系统 和 隐藏 ? 

(3) 在 根 目 录 下 存储 有 几 个 文件 ? 

(4) 在 根 目 录 下 存储 的 第 5 个 目录 项 如 图 5. 40 所 示 , 该 目录 项 描述 的 是 一 个 子 目录 ( 文 
件 夹 ) ,请 写 出 在 资源 管理 器 所 查看 到 的 子 目 录 名 。 该 子 目 录 的 开始 簇 号 是 多 少 ? 该 子 目录 分 
配 链 表 如 图 5. 38 所 示 ,请 画 出 该 子 目录 的 分 配 链表 图 。 


00800080 41 31 32 20 20 20 20 20 20 20 20 10 00 2C 73 4C Al2 ,SL 
00800090 BC 46 BC 46 00 00 4A 56 57 43 09 00 00 00 00 00 8. JVwWC...... 


图 5.40 H 盘 根 目录 存 储 的 第 5 个 目录 项 


(5) 在 根 目录 下 存储 的 倒数 第 2 个 目录 项 如 图 5.41 所 示 , 该 目录 项 描述 的 是 一 个 文件 ， 
请 写 出 用 户 在 资源 管理 器 中 查看 到 的 文件 名 。 该 文件 内 容 的 实际 大 小 是 多 少 字 节 ? h HA 
的 空间 是 多 少 字 节 ? 该 文件 内 容 在 H 盘 上 是 连续 存储 的 , 它 的 开始 簇 号 和 结束 簇 号 分 别 是 多 
少 ? 计算 该 文件 内 容 的 开始 簇 号 项 和 结束 簇 号 项 在 FATI 表 和 FAT2 表 中 的 位 置 。 请 画 出 
该 文件 的 分 配 链表 图 。 


008005C0 4B 55 4E 4D 49 4E 47 20 44 4F 43 20 18 A5 0D 4F KUNMING DOC .?0 
008005D0 BC 46 BC 46 01 00 01 60 63 44 B1 DI 00 80 00 00 P2... cD%. €.. 


图 5.41 H 盘 根 目 录 存储 的 倒数 第 2 个 目录 项 


(6) 在 根 目录 下 存储 的 倒数 第 5 个 目录 项 如 图 5. 42 所 示 ,该 目录 项 描述 的 是 一 个 文件 ， 
在 资源 管理 器 中 查看 该 文件 的 属性 如 图 5. 43 所 示 ,请 将 该 文件 的 大 小 、 占 用 空间 、 创 建 日 期 和 
时 间 、 修 改 日 期 和 时 间 填 人 图 5. 43 对 应 下 夯 线 处 ; 该 目录 项 偏 移 0X0B 的 值 是 多 少 ? 该 值 所 
描述 的 文件 属性 是 什么 ?请 将 该 属性 值 所 描述 的 属性 在 图 5. 43 对 应 的 只 读 、 隐 藏 或 者 存档 方 
框 中 打上 “~ ”。 
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00800560 41 30 31 20 20 20 20 20 54 58 54 21 18 31 8A 4D A01 TXT .1 £ 


00800570 BC 46 BC 46 00 00 03 81 


2013/10/30 
2013/10/30 
2013/10/23 
2013/10/23 
2013/10/23 
2013/10/23 
2013/10/23 
2013/10/23 
2013/10/23 
2013/10/23 
2013/10/23 
2013/10/23 
2013/10/23 
2013/12/09 
2013/11/07 
2013/10/28 
2013/10/23 
2013/10/23 
2013/10/30 
2013/10/23 
2013/10/23 
2015/05/20 
2015/05/20 
2015/05/20 
2015/05/20 
2015/05/28 
2014/03/03 
2014/03/18 


B4 46 4E E9 D5 8B 42 07 PRH... TE N 848. 


图 5.42 理 盘 根 目录 存储 的 倒数 第 5 个 目录 项 


11 
1 
10 
10 
10 
10 
10 
10 
10 
10 
10 
10 
10 


09; 
14: 
16; 
10; 
10; 
10: 
10: 
10; 
16; 
16; 
16: 
16; 
09 : 
12; 
17: 


DERD 


Brev Bru 


CD e [ERw ) 


5.43 某 文件 的 属性 情况 


5.11 在 题 5. 10 中 ,在 DOS 下 查看 到 H 盘 的 根 目 录 如 图 5.44 所 示 。 请 回答 下 列 问题 ， 


驱动 器 H 中 的 卷 是 新 加 卷 
卷 的 序列 号 是 9860-6F43 H:\ 的 目录 


:08 <DIR> 
:09 <DIR> 
:50 <DIR> 
:50 <DIR> 
:50 <DIR> 
:50 <DIR> 
:50 <DIR> 
:50 <DIR> 
:50 <DIR> 
:50 <DIR> 
:50 <DIR> 
:50 <DIR> 
:50 <DIR> 
46 <DIR> 
21 <DIR> 
14 <DIR> 
50 <DIR> 
50 <DIR> 
24 <DIR> 
50 <DIR> 
50 <DIR> 
08 121,801,685 
08 121,801,685 
08 121,801,685 
08 121,801,685 
48 <DIR> 
00 32,768 
44 27,136 
6 个 文件 487 


a01 
A02 
Al2 
Al2( 存 放 400 个 文件 索引 目录 ) 
al3 
Al13( 存 放 100 个 文件 索引 目录 ) 
al4 
al5 
al6 
al7 
a80 
al00 长 文件 名 
A600( 存 放 600 个 文件 索引 目录 ) 
al0000( 存 放 10000 个 文件 0000 一 9999) 
aa 
aaaaaa 
abcd(1000 个 文件 ) 
abcd(2000 个 文件 ) 
abcd_al01 一 a500(1300 个 文件 ) 
abcd_al01 一 a500( 存 放 1300 个 文件 ) 
abcd_al01 一 b299(1200files) 
a03. txt 
b03. txt 
a01. txt 
a02. txt 
abcde 
kunming. doc 
shanghai. doc 
，266,644 字 节 


22 个 目录 2,721,292,288 可 用 字 节 
图 5. 44 DOS 下 查看 HAREK 


È 大 话 数 据 恢复 


(1) 请 结合 图 5. 39 将 H 盘 根 目录 下 存储 的 卷 标 、 每 个 文件 ( 夹 ) 的 属性 代码 填 入 到 表 5. 26 
对 应 单元 格 中 ( 注 : 属性 代码 使 用 十 六 进 制 ) 。 

(2) 假设 H 盘 根 目录 下 每 个 文件 的 内 容 均 是 连续 存储 的 ,请 将 每 个 文件 的 开始 簇 号 、 结 
东 簇 号 和 文件 大 小 填 入 到 表 5. 26 中 对 应 单元 格 中 。 


表 5.26 H 盘 根 目录 的 文件 ( 夹 ) 属 性 代码 、 开 始 徐 号 等 


序 号 卷 标 名 、 文 件 名 或 文件 夹 名 属性 代码 ”开始 拨号 ARERI KFH) 
1 新 加 卷 
2 $RECYCLE. BIN 
3 a01 
4 A02 
5 A12 
6 Al12( 存 放 400 个 文件 的 索引 目录 ) 
al3 
8 Al3( 存 放 100 个 文件 索引 目录 ) 
9 al4 
10 al5 
ii al6 
12 al7 
13 a80 
14 al00 长 文件 名 
15 A600( 存 放 600 个 文件 索引 目录 ) 
16 al0000( 存 放 10000 个 文件 0000 一 9999) 
17 aa 
18 aaaaaa 
19 abcd(1000 个 文件 ) 
20 abcd(2000 个 文件 ) 
fi abcd_a101~a500(1300 个 文件 ) 
22 abcd_al01 一 a500( 存 放 1300 个 文件 ) 
23 abcd_al01 一 b299(1200files) 
24 a03. txt 
25 b03. txt 
26 a01. txt 
27 a02. txt 
28 abcde 
29 kunming. doc 
30 shanghai. doc 


(3) 将 每 个 文件 夹 的 开始 簇 号 填 和 人 到 表 5. 26 对 应 单元 格 中 。 
(4) 将 长 文件 夹 名 所 对 应 的 短文 件 夹 名 填 人 到 表 5. 27 对 应 单元 格 中 。 
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表 5.27 瑟 盘 根 目 录 下 长 文件 夹 名 所 对 应 的 短文 件 名 


长 文件 夹 名 长 文件 夹 名 所 对 应 的 短文 件 夹 名 
Al2( 存 放 400 个 文件 索引 目录 ) 
Al13( 存 放 100 个 文件 索引 目录 ) 
al00 长 文件 名 
A600( 存 放 600 个 文件 索引 目录 ) 
al0000( 存 放 10000 个 文件 0000 一 9999) 
abcd(1000 个 文件 ) 
abcd(2000 个 文件 ) 
abcd_al01 一 a500(1300 个 文件 ) 
abcd_al01 一 a500( 存 放 1300 个 文件 ) 
10 abcd_a101—b299(1200files) 


= 
qo 


oonan e own — 


5.12 在 题 5. 10 中 ,在 H 盘 根 目录 下 存储 的 最 后 一 个 目录 项 如 图 5. 45 所 示 ,该 目录 项 
描述 的 是 一 个 文件 。 


008005E0 53 48 41 4E 47 48 41 49 44 4F 43 20 18 8D OE 50 SHANGHAIDOC ...P 
008005F0 BC 46 BC 46 OB 00 91 8D 72 44 02 00 00 6A 00 00 #%#8..?rD... j.. 


图 5.45 HH 盘 根 目录 存储 的 最 后 一 个 目录 项 
请 回答 下 列 问题 。 
(1) 写 出 该 目录 项 在 资源 管理 器 所 查看 到 的 文件 名 。 并 将 该 文件 的 基本 信息 填 人 表 5. 28 
中 右 侧 对 应 单元 格 中 ( 注 : 假设 该 文件 内 容 在 H 盘 上 的 存储 是 连续 的 ) 。 
表 5.28 某 文件 的 基本 信息 
在 资源 管理 器 中 查看 到 的 主 文件 名 和 扩展 名 


文件 属性 代码 oX 

文件 名 和 扩展 名 大 小 写 代 码 oX 

文件 创建 日 期 和 时 间 # 月 H 

文件 修改 日 期 和 时 间 # 月 H : : 
XER RE S MAR p 文件 开始 簇 号 : “文件 结束 能 号 : _ 
文件 实际 大 小 _ MRB 字 节 ) 

文件 所 占 磁 盘 空间 _ MB 字 节 ) 


文件 开始 能 号 在 FAT1 表 的 扇 区 号 及 偏 移 地 址 “| 扇 区 号 : _” 偏 移 地 址 : lU U — 
文件 结束 能 号 在 FAT1 表 的 扇 区 号 及 偏 移 地 址 ”| 扇 区 号 :_” 偏 移 地 址 : ~ 
XEF RESE FAT? 表 的 扇 区 号 及 偏 移 地 址 “| 扇 区 号 :_” 偏 移 地 址 : 一 
文件 结束 能 号 在 FAT? 表 的 扇 区 号 及 偏 移 地 址 “| 扇 区 号 :_” 偏 移 地 址 : 一 


(2) 画 出 该 文件 在 H 盘 的 存储 结构 图 。 

(3) 假设 回收 站 已 空 ,将 该 文件 放 入 回收 站 后 ,该 目录 项 、 回 收 站 文件 夹 .FAT1 &.FAT2 
表 、 磁 盘 已 使 用 空间 和 自由 空间 有 何 变 化 ?( 注 : 操作 系统 为 Windows 7) 

(4) 将 该 文件 从 回收 站 中 清空 后 ,该 目录 项 、 回 收 站 文件 夹 .FATI1 表 、FAT2 表 、 磁 盘 已 使 
用 空间 和 自由 空间 又 有 何 变 化 ?( 注 : 操作 系统 为 Windows 7) 


@ 大 话 数据 恢复 


5.13 某 逻 辑 盘 两 个 子 目 录 开 始 扇 区 前 64 字 节 分 别 如 图 5.46 和 图 5. 47 所 示 ,请 回答 下 


列 问题 : 
=. Ka orst | o i 2 3 s s 2 s JABE DEERE 加 
Fie s, FAT32 | 00820000 |2E 20 20 20 20 20 20 20 20 20 20 10 00 AA 73 °sL 
Volume labot: Swe | 00820010 BC 46 BC 4e[00 00]74 4c Bc 46[22 00jo0 oo 00 30 r .tLuE".，,. 几 
00820020 |2E 2E 20 20 20 20 20 20 20 20 20 10 00 AA 73 4C sL 
— onina | 00820030 | BC 46 BC 46[00 00]7a 4c Bc 46[00 00]00 oo oo oo MEAEF..tLAE 
Sector 16640 of 6285312 | Offset a2001F| =0| Block 82001F - 82001F | Size: 4j 
图 5.46 第 1 个 子 目 录 前 96 字 节 
~ mme | Offset |0 1 2 3 4 S 6 7 B 9 A B C D E FZJES E 
pap FAr32 | 1D99F000 | 2E 20 20 20 20 20 20 20 20 20 20 10 00 8D 54 4E]. N} 
Volume label: sme | 1D99F010 BC 46 BC 46[01 00]ss 4E Bc 46[RLDloo 00 00 00 | FwF. UNE Ñ. q 
1D99F020 2E 2E 20 20 20 20 20 20 20 20 20 10 00 8D 54 4E |. 
Detaut Edit Mode anaing | 1D99F030 | BC 46 BC 46[01 00]s5 4E Bc 46[Ao Di]oo oo oo oo MEE. UNE Ñ.. 
Sector 969976 of 6285312 omset .2001F| =0 Bo , ,. .. ..82001F-82001F|See: sj 


图 5.47 第 2 个 子 目录 前 96 字 节 


(1) 请 分 别 将 这 两 个 子 目 录 的 开始 簇 号 填 人 到 表 5. 29 对 应 单元 格 中 。 
(2) 请 分 别 将 这 两 个 子 目录 上 一 级 目录 的 开始 簇 号 填 人 到 表 5. 29 对 应 单元 格 中 。 


(3) 通过 这 两 个 子 目录 的 开始 扇 区 号 和 开始 簇 号 ,请 计算 出 该 逻辑 盘 中 每 个 簇 的 扁 区 数 ， 


通过 这 两 个 子 目 录 上 一 级 目录 的 开始 复 号 和 每 个 能 的 扇 区 数 ,计算 出 这 
录 的 开始 扇 区 号 并 将 结果 填 人 到 表 5. 29 对 应 单元 格 中 。 


表 5.29 两 个 子 目录 及 其 上 一 目录 ( 父 目 录 ) 开 始 位 置 


两 个 子 目 录 上 一 级 目 


开始 位 置 两 个 子 目 录 开始 位 置 上 一 级 目录 ( 即 父 目 录 ) 开 始 位 置 
子 目录 FARKE FARS FANKE FARS 
第 1 个 16640 
第 2 个 969976 


(4) 这 两 个 子 目 录 的 目录 名 是 否 存储 在 根 目录 下 ? 为 什么 ? 


5.14 某 U 盘 只 有 一 个 MBR 分 区 ,对 应 的 文件 系统 是 FAT32,FAT32_DBR 前 80 字 节 
如 图 5. 48 所 示 ,请 根据 FAT32_DBR 中 的 相应 参数 计算 该 FAT32 每 个 得 的 扇 区 数 ,并 将 该 
值 填 人 到 图 5. 48 KME 0X0D 下 画 线 处 ( 注 : 素材 文件 名 为 zy5_14. vhd) 。 


Offset 

00000000 
00000010 
00000020 
00000030 
00000040 


01234567 
EB 58 90 4D 53 44 4F 53 
02 00 00 00 00 F8 00 00 
00 00 20 00 FD 03 00 00 
01 00 06 00 00 00 00 00 
80 00 29 77 A8 D8 3A 4E 


8 9ABCDEF 
35 2E 30 00 02 _ 06 18 
3F 00 FF 00 00 00 00 00 
00 00 00 00 02 00 00 00 
00 00 00 00 00 00 00 00 
4F 20 4E 41 4D 45 20 20 


B8.MSD0S5.0..... 


€.)w 方 :NO NAME 


5.48 某 FAT32_DBR 前 96 字 节 


5.15 某 U 盘 的 文件 系统 为 FAT32,FAT32_DBR 前 80 字 节 如 图 5. 49 所 示 , 请 根据 该 
FAT32_DBR 中 BPB 相应 参数 ,计算 出 该 FAT32 文件 系统 总 扇 区 数 的 范围 , 即 该 U 盘 的 最 小 


总 读 区 数 是 多 少 
5.16 设计 一 


? 最 大 总 扇 区 数 是 多 少 ? 并 验证 该 U 盘 的 总 扇 区 数 是 否 在 该 范围 内 。 
个 实验 ,以 FAT32_DBR 中 的 BPB 参数 为 依据 ,通过 统计 FAT 表 中 已 分 配 


EMRE HP FAT32 文件 系统 中 磁盘 已 用 空间 和 自由 空间 。 
5.17 根据 你 对 FAT32 文件 系统 的 理解 和 认识 ,你 认为 计算 FAT32 文件 系统 中 每 个 簇 
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Offset 01234567 89ABCDEF 
00000000 EB 58 90 4D 53 44 4F 53 35 2E 30 00 02 04 3E 20 B8.MSD0S5.0...> 
00000010 02 00 00 00 00 F8 00 00 3F 00 FF 00 00 00 00 00 
00000020 g0 00 20 00 El OF 00 00 00 00 00 00 02 00 00 00 
00000030 01 00 06 00 00 00 00 00 00 00 00 00 00 00 00 00 
00000040 80 00 29 82 4A OD 94 4E 4F 20 4E 41 4D 45 20 20 


5.49 $ FAT32_DBR 前 96 字 节 


的 扇 区 数 有 哪 几 种 方法 ? 

5.18 某 硬盘 0 号 扇 区 偏 移 0X01BE—0X01FD 处 存储 有 4 个 MBR 分 区 表 , 对 应 的 文件 
系统 均 为 FAT32。 由 于 用 户 操作 不 慎 , 将 4 个 MBR 分 区 删除 。 用 户 使 用 WinHex 软件 ,通过 
FAT32_DBR 特征 值 向 下 查找 FAT32_DBR ,分 别 在 128 号 、134 号 、198784 号 、198790 号 、 
362624 号 .362630 号 .567424 号 和 567430 号 这 8 个 扇 区 中 查找 到 。 请 回答 下 列 问题 ( 注 : K 
材 文件 名 为 zy5_18. vhd) 。 

A) 你 怎样 判断 这 8 个 扇 区 中 哪 4 个 扇 区 存储 的 是 FAT32_DBR? 哪 4 个 扇 区 存储 的 是 
FAT32_DBR 备份 ? 

(2) 请 将 这 4 个 分 区 对 应 FAT32_DBR 和 FAT32_DBR 备份 所 在 扇 区 号 填 人 到 表 5. 30 
对 应 单元 格 中 ,并 分 别 计算 出 前 3 个 分 区 的 结束 扇 区 号 以 及 对 应 逻辑 盘 的 容量 ; 并 将 结果 填 人 
到 表 5.30 对 应 单元 格 中 (提示 : 由 于 4 个 MBR 分 区 表 均 存储 整个 硬盘 0 号 扇 区 ,4 个 分 区 的 划 
分 是 尾 首相 连 的 , 即 第 1 个 分 区 结束 扇 区 号 的 下 1 个 扇 区 号 为 第 2 个 分 区 的 开始 扇 区 号 ) 。 

表 5.30 某 硬盘 FAT32_DBR 及 FAT32_DBR 备份 所 在 扇 区 号 


分 区 FAT32_DBR FAT32_DBR 备份 分 区 结束 容量 
在 整个 硬盘 扇 区 号 在 整个 硬盘 扇 区 号 AKS (单位 : MB) 

第 1 个 

第 2 个 

第 3 个 

第 4 个 221 


(3) 第 4 个 分 区 的 容量 为 221MB, 请 计算 出 第 4 个 分 区 的 结束 扇 区 号 ,并 将 结果 填 人 到 
表 5. 30 对 应 单元 格 中 。 
(A) 请 根据 4 个 FAT32_DBR 所 在 扇 区 号 ,计算 出 4 个 分 区 表 的 相对 扇 区 ,并 将 结果 填 人 
到 表 5. 31 对 应 单元 格 中 。 
(5) 请 根据 4 个 FAT32 文件 系统 开始 扇 区 号 和 结束 扇 区 号 ,计算 出 4 个 分 区 总 扇 区 数 ， 
并 将 结果 填 人 到 表 5. 31 对 应 单元 格 中 。 
表 5.31 某 硬盘 0 号 扇 区 4 个 分 区 表 的 相对 扇 区 和 总 扇 区 数 


相对 扇 区 ADEK 
分 区 表 | 分 区 标志 
十 进 制 | 十 六 进 制 存储 形式 十 进 制 | 十 六 进 制 存储 形式 
第 1 个 0B 
第 2 个 0B 
第 3 个 0B 
第 4 个 0B 
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(6) 请 根据 表 5. 31 中 的 相对 扇 区 和 总 扇 区 数 的 存储 形式 , 写 出 存储 在 硬盘 0 号 扇 区 偏 移 
0X01BE—0X01FD 处 的 4 个 分 区 表 , 并 将 结果 填 人 到 表 5. 32 对 应 单元 格 中 。 
表 5.32 某 硬盘 0 号 扇 区 的 4 个 分 区 表 
分 区 表 扇 区 偏 移 存储 在 硬盘 0 号 扇 区 的 分 区 表 ( 存 储 形式 ) 
第 1 个 | 0X01BE~0X01CD | 80 | 01 | 01 | 00 | OB | FE | FF | FF 
第 2 个 | 0X01CE~0X01DD | 00 | 01 | 01 | 00 | OB | FE | FF | FF 


第 3 个 | 0X01DE~0X01ED | 00 | 01 | 01 | 00 | OB | FE | FF | FF 
第 4 个 | 0X01EE~0X01FD | 00 | 01 | 01 | 00 | OB | FE | FF | FF 


(7) 最 后 将 表 5. 32 中 的 4 个 分 区 表 填 入 到 整个 硬盘 0 号 扇 区 偏 移 0X01BE—0X01FD 
处 ,然后 存盘 并 退出 WinHex( 实 际 操作 题 ) 。 

5.19 某 硬盘 0 号 扇 区 的 4 个 MBR 分 区 表 所 对 应 的 文件 系统 均 为 FAT32, 由 于 用 户 操 
作 不 慎 将 4 个 MBR 分 区 表 删 除 。 并 且 在 每 个 FAT32 文件 系统 中 ,要 么 是 FAT32_DBR 被 破 
坏 、 要 么 是 FAT32_DBR 备份 被 破坏 。 用 户 使 用 WinHex 软件 ,通过 FAT32_DBR 的 特征 值 
向 下 查找 FAT32_DBR ,分 别 在 134 号 ,204934 号 ,389248 号 和 716934 号 这 4 个 扇 区 中 查找 
到 ,从 这 4 个 扇 区 中 获得 的 隐藏 扇 区 数 存 储 形式 分 别 为 80 00 00 00”“80 20 03 00”“80 FO 05 
00” 和 “80 FO 0A 00”。 请 回答 下 列 问题 ( 注 : 素材 文件 名 为 zy5_19. vhd) 。 

(1) 你 怎样 判断 这 4 个 扇 区 中 存储 的 是 FAT32_DBR 还 是 FAT32_DBR 备份 ? 

(2) 请 通过 这 4 个 扇 区 中 存储 的 FAT32_DBR 或 者 FAT32_DBR 备份 计算 出 对 应 的 
FAT32_DBR 备份 或 者 FAT32_DBR 所 在 扇 区 号 ,并 将 结果 填 人 到 表 5. 33 对 应 单元 格 中 ,分 
别 计算 出 前 3 个 分 区 的 结束 扇 区 号 以 及 前 3 个 分 区 所 对 应 逻辑 盘 的 容量 ; 并 将 结果 填 人 到 
K 5. 33 对 应 单元 格 中 (提示 : 由 于 4 个 MBR 分 区 表 均 存储 整个 硬盘 0 号 扇 区 ,4 个 分 区 的 划 
分 是 尾 首相 连 的) 。 

(3) 第 4 个 分 区 对 应 的 容量 为 98MB, 请 计算 出 第 4 个 分 区 的 结束 扇 区 号 ,并 将 结果 填 人 
到 表 5.33 对 应 单元 格 中 。 

表 5.33 某 硬盘 FAT32_DBR 及 FAT32_DBR 备份 所 在 扇 区 号 


FAT32_DBR FAT32_DBR 备份 容量 
区 在 整个 硬盘 扇 区 号 在 整个 硬盘 肩 区 号 SPARE (单位 : MB) 
第 1 个 
第 2 个 
第 3 个 
第 4 个 98 


(4) 请 根据 4 个 FAT32_DBR 所 在 扇 区 号 ,计算 出 4 个 分 区 表 的 相对 扇 区 ,并 将 结果 填 人 
到 表 5. 34 对 应 单元 格 中 。 
表 5.34 Sm 0 号 扇 区 4 个 分 区 表 中 的 相对 扇 区 和 总 扇 区 数 


相对 扇 区 AAK 
分 区 表 | 分 区 标志 
十 进 制 | 十 六 进 制 存储 形式 十 进 制 | 十 六 进 制 存储 形式 
第 1 个 0B 
r iia 0B 
第 3 个 0B 
第 4 个 0B 
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(5) 请 根据 4 个 FAT32 文件 系统 开始 扇 区 号 和 结束 扇 区 号 ,计算 出 4 个 分 区 总 扇 区 数 ， 
并 将 结果 填 人 到 表 5. 34 对 应 单元 格 中 。 

(6) 请 根据 表 5. 34 中 的 相对 扇 区 和 总 扇 区 数 的 存储 形式 , 写 出 存储 在 硬盘 0 号 扇 区 偏 移 
0X01BE—0X01FD 处 的 4 个 分 区 表 , 并 将 结果 填 人 到 表 5. 35 对 应 单元 格 中 。 


表 5.35 某 硬盘 0 号 扇 区 的 4 个 分 区 表 


分 区 表 扇 区 偏 移 存储 在 硬盘 0 号 扇 区 的 分 区 表 ( 存 储 形式 ) 
第 1 个 | 0X01BE~0X01CD | 80 || 01 | 01 | 00 || OB || FE | FF | FF 
第 2 个 | 0X01CE~0X01DD | 00 || 01 | 01 | 00 | OB || FE | FF | FF 
第 3 个 | 0X01DE~0X01ED | 00 || 01 | 01 | 00 | OB || FE | FF | FF 
第 4 个 | 0X01EE~0X01FD | 00 || 01 | 01 | 00 | OB || FE | FF | FF 


(7) 请 将 表 5. 35 中 的 4 个 分 区 表 填 人 到 整个 硬盘 0 号 扇 区 偏 移 0X01BE—0X01FD 处 ， 
然后 存盘 (实际 操作 题 ) 。 

(8) 如 果 用 户 查 找到 的 是 FAT32_DBR 备份 ,请 通过 FAT32_DBR 备份 恢复 对 应 的 
FAT32_DBR; 如 果 用 户 查 找到 的 是 FAT32_DBR ,请 通过 FAT32_DBR 恢复 对 应 的 FAT32_ 
DBR 备份 ,然后 存盘 并 退出 WinHex( 实 际 操作 题 ) 。 


aO a 


NTFS 文 件 系统 


6.1 NTFS 文件 系统 概述 


6.1.1 NTFS 文件 系统 简介 


NTFS (New Technology File System) 文 件 系统 随 着 Windows NT 操作 系统 的 诞生 而 产 
生 , 是 特别 为 网 络 .磁盘 配额 ,文件 加 密 等 安全 特性 而 设计 的 磁盘 格式 ,其 结构 比 FAT32 文件 
系统 的 结构 要 复杂 得 多 。NTFS 文件 系统 的 设计 目的 就 是 实现 在 大 容量 硬盘 上 快速 ,高效 地 
管理 文件 ; 掉 电 或 者 其 他 原因 导致 NTFS 文件 系统 结构 遭受 损坏 后 ,能够 根据 NTFS 的 元 文 
件 和 自身 结构 特点 迅速 地 自我 修复 。 

NTFS 文件 系统 的 主要 优点 : 安全 性 高 .稳定 性 好 ,不 易 产 生 文件 碎片 .提供 容错 结构 日 
志 、 实 现 对 文件 系统 结构 的 自我 修复 等 等 。 

到 目前 为 止 ,微软 公司 发 布 了 如 下 8 个 NTFS 文 件 系统 的 正式 版 本 : 

(1) NTFS V1. 0,1993 年 7 月 随 Windows NT 3.1 一 起 发 布 。 

(2) NTFS V1. 1,1994 年 秋季 随 Windows NT 3. 5 一 起 发 布 , 注 : NTFS V1.0 和 NTFS 
V1.1 与 以 后 所 有 的 版 本 都 不 兼容 。 

(3) NTFS V1. 2( 也 称 为 NTFS 4. 0), 1995 年 至 1996 年 随 Windows NT 3. 51 和 
Windows NT 4.0 一 起 发 布 , 支 持 压缩 文件 、 命 名流、 基于 ACL( 访 问 控制 列表 ) 的 安全 性 等 
功能 。 

(4) NTFS V3.0( 也 称 为 NTFS 5.0) ,用 于 Windows 2000, 3 F Ri # BR A in 3 f Bü X 
件 、 重 解析 点 ,更 新 串 行 数 (USN) 日 志 、$ Extend 文件 夹 以 及 其 中 的 文件 ,并 改进 了 安全 描述 
符 , 以 便于 使 用 相同 安全 设置 的 多 个 文件 共享 一 个 安全 描述 符 。 

(5) 2001 年 秋季 ,在 Windows XP 上 发 布 了 NTFS V3.1( 也 称 为 NTFS 5. 1)。 

(6) 2003 年 春季 ,在 Windows Server 2003 上 发 布 了 NTFS 5. 2。 

(7) 2005 年 ,在 Windows Vista 上 发 布 了 NTFS 6.0。 

(8) 2008 年 初 , 在 Windows Server 2008、Windows Server 2008 R2 以 及 Windows 7 上 发 
# T NTFS 6.1. 


第 6 章 NTFS 文 件 系统 分 


6.1.2 NTFS 总 体 布 局 


从 整体 结构 上 讲 ,NTFS 文件 系统 由 元 文件 ,用户 文 件 以 及 数据 等 组 成 。NTFS 文件 系统 
在 创建 时 ,会 将 一 些 重要 的 系统 信息 以 文件 的 形式 分 散 地 存储 在 NTFS 卷 中 ,存储 这 些 重要 
系统 信息 所 对 应 的 文件 就 是 元 文件 , 它 是 NTFS 文件 系统 最 重要 的 组 成 部 分 。 

在 NTFS 元 文件 中 ,最 重要 的 元 文件 就 是 $MFT, 它 决定 了 NTFS 文件 系统 中 所 有 文件 
或 者 文件 夹 在 NTFS 卷 上 的 位 置 。 元 文件 $ MFT 是 一 个 数据 库 , 由 许 许多 多 记录 组 成 ,每 条 
记录 的 大 小 一 般 是 固定 的 ,无 论 簇 的 大 小 是 多 少 , 均 为 1024 字 节 ( 注 : 元 文件 $ MFT 中 ,每 条 
记录 的 大 小 在 NTFS_DBR 中 有 描述 ) ; 元 文件 $ MFT 中 的 每 条 记录 都 有 一 个 唯一 的 记录 号 ， 
记录 号 从 0 开始 顺序 编号 。 其 中 : 从 0 至 11 号 的 前 12 条 记录 是 NTFS 文件 系统 中 最 基本 
的 ,也 是 最 重要 的 元 文件 记录 ; 而 0 号 记录 称 作 基 本 文件 记录 ,描述 的 内 容 就 是 元 文件 $MFT 
本 身 的 基本 情况 。 除 根 目录 外 ,元 文件 的 名 称 均 以 “ $ ”符号 开头 。 元 文件 是 隐藏 的 系统 文件 ， 
用 户 不 能 直接 对 元 文件 进行 访问 ,在 资源 管理 器 中 也 不 能 查看 到 元 文件 。NTFS 文件 系统 的 
总 体 布局 大 致 如 图 6. 1 所 示 。 


$BOOT | 其 他 文件 | 某 元 | 其 他 文件 | 某 元 | 其 他 文件 | .| 某 元 | 其 他 文件 | 剩余 
元 文件 | 或 者 数据 | 文件 | 或 者 数据 | 文件 | 或 者 数据 文件 | 或 者 数据 | iX 


图 6.1 NTFS 文 件 系统 的 总 体 布局 
从 图 6.1 可 知 ,NTFS 的 元 文件 分 散 地 存储 在 NTFS 卷 中 。 整 个 NTFS 卷 是 以 入 为 单位 
对 磁盘 空间 进行 管理 。 而 在 分 区 时 ,总 扇 区 数 不 一 定 是 簇 的 倍数 。 因 此 ,有 可 能 出 现 剩余 扇 
区 ,剩余 扇 区 一 般 是 大 于 或 等 于 1 个 扇 区 而 小 于 1 个 簇 ( 即 最 后 不 能 够 成 一 个 簇 的 扇 区 )。 在 
NTFS 文件 系统 中 ,15 个 重要 的 元 文件 说 明 见 表 6. 1 所 列 。 
表 6.1 NTFS 文件 系统 中 的 元 文件 


记录 号 元 文件 名 主要 功能 记录 号 元 文件 名 主要 功能 
0 $ MFT 元 文件 $ MFT 本 身 9 $ Secure 安全 文件 
1 $MFTMirr ”元 文件 $MFT 前 几 条 | 10  $ UpCase 大 写 文件 
记录 的 备份 
2 $ LogFile 日 志文 件 11 $ Extend 扩展 元 数据 目录 
3 $ Volume 卷 文 件 12 一 15 系统 保留 系统 保留 
4 $ AttrDef 属性 定义 列表 16 一 23 保留 保留 
5 根 目录 24 $ Extend\ $ Quota ”配额 管理 文件 
6 $ Bitmap 位 图 文件 25 $ Extend\ $ Objld ”对 象 ID 文件 
7 $ Boot 引导 文件 26 $ Extend\ $ Reparse 重新 解析 文件 
8 $ BadClus MS X: tt 27 以 后 .…. 用 户 文件 和 目录 


存储 在 NTFS 卷 中 的 每 一 个 文件 或 文件 夹 在 元 文件 $ MFT 中 都 有 一 条 对 应 的 记录 ,有 
个 别 的 文件 或 文件 夹 会 有 两 条 ,甚至 三 条 记录 ,其 中 第 一 条 记录 称 作 基本 记录 ,但 这 种 情况 并 
不 多 见 。 

元 文件 $ MFT 中 各 记录 作用 说 明 如 下 : 

0 号 记录 : 描述 的 是 元 文件 $ MFT 自身 的 基本 情况 ,如 : 元 文件 $ MFT 的 日 期 时间、 名 
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称 、 开 始 簇 号 、 所 占 簇 数 、 大 小 、 各 记录 的 使 用 情况 等 ; 
1 号 记录 : 描述 的 是 镜像 文件 ( 即 元 文件 $ MFTMirr) ,该 元 文件 为 元 文件 $ MFT 前 几 条 
记录 的 备份 ,元 文件 $ MFTMirr 的 记录 数 取 决 于 每 个 簇 的 扇 区 数 , 详 见 表 6. 2 所 列 。 


表 6.2 每 个 簇 的 扇 区 数 与 元 文件 $ MFTMirr 所 占 簇 数 和 记录 数 关系 表 


$MFTMirr $ MFTMirr 记录 数 $ MFTMirr $ MFTMirr 记录 数 
DEBE E (记录 号 范围 | PSAE prst (记录 号 范围 
1 8 4 条 (0 一 3 号 记录 ) 16 1 8 条 (0 一 7 号 记录 ) 
2 4 4 条 (0 一 3 号 记录 ) 32 1 16 条 (0 一 15 号 记录 ) 
4 z 4 条 (0 一 3 号 记录 ) 64 1 32 条 (0 一 31 号 记录 ) 
8 1 4 条 (0 一 3 号 记录 ) 128 1 64 条 (0 一 63 号 记录 ) 


2 号 记录 : 描述 的 是 日 志文 件 ( 即 元 文件 $ LogFile) ,该 元 文件 是 NTFS 为 实现 可 恢复 性 
和 安全 性 而 设计 的 。 当 系统 运行 时 ,NTFS 就 会 在 日 志文 件 中 记录 所 有 影响 NTFS 卷 结 构 的 
操作 ,如 : 创建 文件 ,删除 文件 等 。 

3 号 记录 : 描述 的 是 卷 文 件 ( 即 元 文件 $ Volume) ,该 元 文件 包含 了 卷 名 .NTFS 的 版 本 和 
一 个 标明 该 磁盘 是 否 损坏 的 标志 位 ,这 个 标志 位 被 NTFS 系统 用 于 决定 是 否 需 要 调用 
Chkdsk 命令 来 进行 修复 。 

4 号 记录 : 描述 的 是 属性 定义 表 ( 即 元 文件 $ AttrDef) ,其 中 : 存放 了 卷 所 支持 的 所 有 文 
件 属性 ,并 指出 它们 是 否 可 以 被 索引 和 恢复 等 。 

5 号 记录 : 描述 的 是 根 目 录 ( 即 元 文件 “. ”); 其 中 : 保存 了 存放 于 该 卷 根 目录 下 所 有 文件 
和 目录 的 索引 。 在 访问 了 一 个 文件 后 ,NTFS 就 保留 该 文件 的 $MFT 引用 ,第 二 次 就 能 够 直 
接 对 该 文件 进行 访问 。 

6 号 记录 : 描述 的 是 位 图 文件 ( 即 元 文件 $ Bitmap) ,NTFS 卷 的 分 配 状 态 都 存放 在 位 图 文 
件 中 ,在 位 图 文件 中 一 位 (Bit) 代 表 NTFS 卷 中 一 个 簇 的 状态 , 即 标识 该 篮 是 空闲 得 还 是 已 被 
分 配 的 徐 。 其 中 : 如 果 该 位 的 值 为 0 表示 该 位 所 对 应 的 复 为 空闲 复 , 如 果 该 位 的 值 为 1 表示 
该 位 所 对 应 的 簇 已 被 分 配 。 

7 号 记录 : 描述 的 是 引导 文件 ( 即 元 文件 $ Boot) ,在 该 元 文件 中 ,存放 着 NTFS 卷 中 的 重 
要 BPB 参数 和 Windows 操作 系统 的 引导 记录 代码 。 该 文件 是 用 户 在 对 NTFS 卷 进行 格式 化 
结束 后 创建 的 ; 该 文件 必须 位 于 特定 的 磁盘 位 置 才能 够 正确 地 引导 Windows 操作 系统 。 

8 号 记录 : 描述 的 是 坏 簇 文件 ( 即 元 文件 $ BadClus) ,该 元 文件 记录 了 NTFS 卷 中 所 有 已 
经 损坏 的 簇 号 ,防止 NTFS 文件 系统 对 坏 簇 号 进行 分 配 。 

9 号 记录 : 描述 的 是 安全 文件 ( 即 元 文件 $ Secure) ,该 元 文件 存储 着 整个 NTFS 卷 的 安全 
描述 符 数据 库 。NTFS 文件 和 目录 都 有 各 自 的 安全 描述 符 ,为 了 节省 空间 ,NTFS 将 具有 相同 
描述 符 的 文件 和 目录 存放 在 一 个 公共 文件 中 。 

10 号 记录 : 描述 的 是 大 写 文 件 ( 即 元 文件 $ UpCase) ,该 元 文件 包含 一 个 大 /小 写字 符 转 
换 表 。 

11 号 记录 : 描述 的 是 扩展 元 数据 目录 ( $ Extended metadata directory)。 

12 号 至 23 号 记录 : 系统 保留 。 

24 号 记录 : 描述 的 是 配额 管理 文件 ( $ Extend\ $ Quota)。 

25 号 记录 : 描述 的 是 对 象 ID 文件 ($ExtendN $ Objld) 。 
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26 号 记录 : 描述 的 是 重 解析 点 文件 ( $ Extend\ $ Reparse)。 

27 号 记录 以 后 : 描述 的 是 用 户 文件 和 目录 。 

下 面 通 过 实例 来 说 明 NTFS 文件 系统 元 文件 及 总 体 布局 。 

例 6.1 使 用 WinHex 查看 H 盘 的 元 文件 ,H 盘 中 的 元 文件 如 图 6. 2 所 示 ,其 总 体 布 局 
见 表 6.3 所 列 。 注 : 在 本 章 中 ,如 果 没 有 作 特 别 说 明 ,H 盘 指 的 就 是 素材 \ 第 6 章 \abcd6. vhd 
文件 使 用 计算 机 管理 中 的 磁盘 管理 功能 附加 后 产生 的 虚拟 盘 。 


i 19 Wes, 25 ar. 
Jea [sze — Toraea La Tr j 
08 20150379 092811 SH 
0B 201503719 0928-11 s 
0B 201503719 092811 (Ds) 
0B 201503719 092841 
80 KB 201503719 0928:11 sh ° 
40KB 20150319 0928 11 sh 二 
128KB 20150379 092811 sh 24 
30 MB 201503719 092811 SH 190488 
257 KB 201503119 09:28:11 (ADS) 195600 
25KB 201503719 0928:11 SH 397120 
4.0 KB 20150379 092811 GND 199312 
93KB 201503719 092841 SH 202712 
40KB 20150379 092811 ETU) 202744 
153MB 20150379 092811 SH 202752 
205MB 


6.2 使 用 WinHex 查看 H 盘 中 的 元 文件 


表 6.3 H 盘 布局 情况 表 
# = Ww H 对 应 的 逻辑 扇 区 号 范围 作 Hl B 8 i 3 


0—1 0 一 15 存放 元 文件 $ Boot z 

2 16—23 存放 元 文件 $ MFTMirr 1 

3 一 34 24 一 279 存放 元 文件 $ UpCase 32 

35 一 43 280—351 存放 用 户 文件 或 数据 9 

44 352 一 359 存放 元 文件 “.” 1 

45—23 810 360—190 487 存放 用 户 文件 或 数据 23766 

23 811 一 24 574 190 488 一 196 599 存放 元 文件 $ LogFile 764 

24 575 一 24 639 196 600 一 197 119 存放 元 文件 $ Secure 65 

24 640 197 120—197 127 存放 元 文件 $ AttrDef 1 

24 641—25 338 197 128—202 711 存放 用 户 文件 或 数据 698 

25 339 一 25 341 202 712 一 202 735 存放 元 文件 $ Bitmap 3 

25 342 一 25 343 202 736 一 202 751 存放 $MFT: $ Bitmap š 

25 344—29 247 202 752—233 983 存放 元 文件 $ MFT 3904 

29 248~76 030 233 984 一 608 247 存放 用 户 文件 或 数据 46 783 
76 031 608 248—608 254 AR — 4 $ EU HEIRE 

说 明 : 


A) AK 6. 3 中 可 知 ,元 文件 分 散 地 存储 在 H 盘 中 。 

(2) 由 于 元 文件 $ BadClus、$ Secure, $ Volume 的 大 小 为 0 字 节 , 它 的 内 容 就 包含 在 元 
文件 $ MFT 对 应 记录 中 。 

(3) 整个 H 盘 共 有 608 255 个 扇 区 , 扇 区 号 范围 为 0 一 608 254, 扇 区 号 转换 为 簇 号 后 共有 
76 032 个 簇 ( 簇 号 范围 为 0 一 76 031) ,由 于 76 031 SRA 7 个 扇 区 ,未 能 构成 一 个 完整 的 篮 
GE: H 盘 中 一 个 完整 的 簇 等 于 8 个 扇 区 )。 所 以 ,NTFS 将 其 标识 为 坏 复 ,也 就 是 剩余 扇 区 ， 
因此 H 盘 真 正 可 以 使 用 的 复数 为 76 031 个 (得 号 范围 为 0 一 76 030) 。 


他 大 话 数 据 恢复 


6.1.3 NTFS 引导 扇 区 


NTFS 引导 扇 区 (简称 NTFS_DBR) 占 一 个 扇 区 的 位 置 , 它 是 元 文件 $ Boot 的 重要 组 成 
部 分 ,其 作用 是 完成 对 NTFS 卷 中 BPB 参数 的 定义 ,将 操作 系统 调 入 到 内 存 中 ; 从 NTFS 卷 
对 应 的 分 区 表 , 可 以 计算 NTFS_DBR 在 整个 物理 盘 中 的 扇 区 号 ,其 结构 见 表 6.4 所 列 。 


表 6.4 NTFS_DBR 的 结构 


字 节 偏 移 字 节 数 [= R 
0X00 跳 转 指令 
0X02 空 操作 指令 
0X03 一 般 为 NTFS, 不 足 8 字 节 补 空格 
0X0B 每 个 扇 区 的 字 节 数 ,一 般 为 512 
0X0D 8 ASE 0J M PC BURA 1.2.4.8.16.32.64 或 128 
0XOE 保留 扇 区 数 (NTFS 不 用 ,一般 为 00) 
0X10 总 为 00 
0X13 NTFS 未 使 用 ,为 00 
0X15 介质 描述 
0X16 总 为 00 
0X18 每 个 磁道 的 扇 区 数 
0X1A 磁头 数 
0X1C 隐藏 扇 区 数 , 即 分 区 表 至 NTFS_DBR 的 扇 区 数 , 注 : 正确 性 不 进行 检验 
0X20 NTFS 未 使 用 ,一 般 为 00 
0X24 NTFS 未 使 用 ,总 为 0X00800080 ,存储 形式 为 80 00 80 00 
0X28 总 扇 区 数 ,比分 区 表 中 的 总 扇 区 数 少 1 458 X 
0X30 元 文件 $ MFT 开始 艇 号 
0X38 元 文件 $ MFTMirr 开始 簇 号 
0X40 元 文件 $ MFT 每 条 记录 大 小 描述 , 详 见 说 明 (1) 
0X41 未 用 
0X44 每 个 索引 节点 大 小 描述 , 详 见 说 明 (2) 
0X45 
0X48 
0X50 
0X54 426 引导 记录 
OX1FE $ 签名 ,一 般 为 AA55 ,存储 形式 为 55 AA 


NO to G t — to o rm N 


说 明 

(1) 该 值 是 一 个 带 符号 的 整数 , 取 值 与 每 个 簇 的 扇 区 数 有 关 。 

当 每 个 篮 的 扇 区 数 等 于 1 或 者 等 于 2 时 ,在 NTFS_DBR 扇 区 偏 移 0X40 处 用 正 整 数 来 描 
述 元 文件 $MFT 每 条 记录 的 大 小 ,单位 : E; 

当 每 个 簇 的 扇 区 数 大 于 2( 即 取 值 为 4、8、16、32、64 或 128) 时 ,在 NTFS_DBR 扇 区 偏 移 
0X40 处 用 负 整数 来 描述 元 文件 $ MFT 每 条 记录 的 大 小 , 即 用 0XF6 来 描述 元 文件 $ MFT 每 
条 记录 的 大 小 ,单位 : 字 节 ; 计算 元 文件 $ MFT 每 条 记录 大 小 如 式 (6. 1)。 
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元 文件 $ MFT 每 条 记录 大 小 = 2I 一 2x 一 1024 字 节 (6.1) 
(2) 该 值 是 一 个 带 符号 的 整数 , 取 值 与 每 个 簇 的 扇 区 数 有 关 。 
当 每 个 簇 的 扇 区 数 小 于 或 者 等 于 8( 即 取 值 为 1.2、4 或 8) 时 ,在 NTFS_DBR 扇 区 偏 移 
0X44 处 用 正 整数 来 描述 每 个 索引 节点 ( 注 : 有 些 书籍 称 为 索引 缓冲 区 ) 的 大 小 ,单位 : E; 
当 每 个 簇 的 扇 区 数 大 于 8( 即 取 值 为 16.32.64 或 128) 时 ,在 NTFS_DBR I IX mE 0X44 
处 用 负 整 数 来 描述 每 个 索引 节点 的 大 小 , 即 用 0XF4 来 描述 每 个 索引 节点 大 小 ,单位 : 字 节 ; 
计算 每 个 索引 节点 大 小 如 式 (6. 2) 。 
每 个 索引 节点 大 小 = 2A 一 zox 一 4096 FH (6.2) 
注 : E NTFS 文件 系统 中 , 负 整 数 用 补 码 表示 , 即 十 六 进 制 数 0XF6 等 于 十 进 制 数 一 10; 
十 六 进 制 数 0XF4 等 于 十 进 制 数 一 12。 
在 NTFS 文件 系统 中 ,每 个 簇 的 扇 区 数 与 元 文件 $MFT 每 条 记录 大 小 和 每 个 索引 节点 
大 小 的 对 应 关系 , 详 见 表 6. 5 所 列 。 从 表 6.5 可 知 , 不 论 每 个 簇 的 扇 区 数 是 多 少 ,元 文件 
$ MFT 每 条 记录 的 大 小 均 为 1024 字 节 ; 每 个 索引 节点 的 大 小 均 为 4096 字 节 。 


表 6.5 每 个 簇 的 扇 区 数 与 $ MFT 每 条 记录 大 小 和 每 个 索引 节点 大 小 关系 对 应 表 


$ MFT 每 条 、 $MFT 每 条 记录 大 小 每 个 索引 每 个 索引 节点 大 小 
. 记录 大 小 tt 描述 在 NTFS_DBR ”节点 大 小 pi i 描述 在 NTFS_DBR 
(单位 : 88) 中 存储 形式 (单位 : 簇 ) 中 存储 形式 

1 2 2i 02 8 8 ik 08 
2 1 14k 01 4 4 ik 04 
4 0.5 1024 字 节 F6 r 2 88 02 
8 0.25 1024 字 节 F6 1 148 01 
16 0; 125 1024 字 节 F6 0.5 4096 字 节 F4 
32 0.0625 1024 字 节 F6 0.25 4096 字 节 F4 
64 0.031 25 1024 字 节 F6 0.126 4096 字 节 F4 
128 0.015625 1024 字 节 F6 0.0625 4096 字 节 F4 


例 6.2 使 用 WinHex 软件 打开 素材 文件 abcd6. vhd, 并 将 素材 文件 abcd6. vhd 映像 为 磁 
盘 。 操 作 步 骤 :“ 专 家 一 映像 文件 为 磁盘 (A)”, 将 光标 移动 到 0 号 扇 区 ,分 区 表 如 图 6. 3 所 示 。 

也 可 以 使 用 WinHex 软件 的 模板 管理 器 查看 分 区 表 , 其 操作 步骤 为 : 将 光标 移动 到 0 号 
扇 区 后 ,“ 视 图 一 模板 管理 器 (M)”, 在 弹出 的 窗口 中 选择 “Master Boot Record” 后 单 击 
“Apply!” 按 钮 ,查看 到 的 分 区 表 如 图 6.4 所 示 。 注 : 作者 对 图 6.4 中 的 分 区 表 查 看 模板 器 进 
行 了 汉化 。 


Dia2tabcd6 nd] 

Detau Edit Mode > 

000001c0 

Taat ataata | 000001D0 (00 00 00 00 00 00 00 00 DO 00 00 OO OO DO 00 00 

s12 | 000001E0 00 00 00 00 00 00 00 00 00 00 00 00 OO 00 00 00 

Respersedor $12 | 000001F0 |00 00 00 00 00 00 00 00 00 00 00 00 OO DO 55 AA 
Sector 0 of 614401 Ofset Ka =0) Boce 


图 6.3 HATER OO 号 扇 区 的 分 区 表 图 6.4 用 模板 查看 分 区 表 


@ 大 话 数据 恢复 


说 明 : 
从 图 6. 3 所 看 到 的 分 区 表 为 “00 02 03 00 07 DD 38 25 80 00 00 00 00 48 09 00”, 即 分 区 表 
的 存储 形式 ; 而 在 图 6. 4 中 所 看 到 的 是 分 区 表 的 具体 含义 。 
从 图 6. 3 可 知 ,H 盘 分 区 总 扇 区 数 为 0X00094800( 存 储 形式 为 00 48 09 00) , 即 608 256, 
也 就 是 图 6.4 中 所 看 到 的 分 区 总 扇 区 数 。 
所 以 ,H 盘 总 容量 王 608256 扇 区 X512 字 节 / 扇 区 ==311 427 072 字 节 。 
例 6.3 使 用 计算 机 管理 功能 中 的 磁盘 管理 功能 附加 abcd6. vhd 文件 ,形成 的 虚拟 盘 为 
H 盘 , 使 用 WinHex 打开 H 盘 的 NTFS_DBR。 
操作 步骤 :“ 工 具 (T) 一 打开 磁盘 (D)...”, 在 弹出 的 Edit Disk 窗口 中 选择 H 盘 ,其 NTFS 
_DBR 如 图 6.5 所 示 , 对 H 盘 NTFS_DBR 的 结构 详细 说 明 见 表 6. 6 所 列 。 
Offset 01234567 89ABCDEF 
00000000 EB 52 90 4E 54 46 53 20 20 20 20 00 02 08 00 00 .RNTFS 
00000010 00 00 00 00 00 F8 00 00 3F 00 FF 00 80 00 00 00 .| NTFS_DBR 中 的 总 
00000020 00 00 00 00 80 00 80 00 47 09 00 00 00 00 Ol 扇 区 数 为 608255 
00000030 00 63 00 00 00 00 00 00 02 00 00 00 00 00 00 00 


00000040 F6 00 00 00 01 00 00 00 AD B2 F6 B8 F9 F6 B8 7A 
00000050 00 00 00 00 FA 33 CO 8E DO BC 00 7C FB B8 CO 07 
…( 注 : 省 略 部 分 为 引导 记录 代码 ) 
000001B0 6E 67 00 OD OA 4E 54 4C-44 52 20 69 73 20 63 6F ng...NTLDR is co 
000001C0 6D 70 72 65 73 73 65 64-00 OD 0A 50 72 65 73 73 mpressed...Press 
000001D0 20 43 74 72 6C 2B 41 6C-74 2B 44 65 6C 20 74 6F Ctrl+Alt+Del to 
000001E0 20 72 65 73 74 61 72 74-0D 0A 00 00 00 00 00 00 restart. 
000001F0 00 00 00 00 00 00 00 00-83 AO B3 C9 00 00 55 AA .............. |, 


图 6.5 H # NTFS_DBR 


3 6.6 H # NTFS_DBR 结构 


FEO yqa a # x 
偏 移 十 进 制 | 十 六 进 制 | 存储 形式 
0X00 3 EB 52 跳 转 指令 
0X02 1 90 空 操作 指令 
0X03 8 s. NTFS 
20 20 20 20 
0X0B A 512 200 00 02 每 个 扇 区 的 字 节 数 
0X0D 1 8 8 08 每 个 簇 的 扇 区 数 
0XOE 2 0 0 00 00 保留 扇 区 数 (NTFS 不 用 ,一般 为 0) 
0X10 3 0 0 00 00 00 总 为 0 
0X13 $ 0 0 00 00 NTFS 未 使 用 ,为 0 
0X15 1 F8 介质 描述 
0X16 2 0 0 00 00 总 为 0 
0X18 2 63 3F 3F 00 每 个 磁道 扇 区 数 
OX1A 2 255 FF FF 00 磁头 数 
0X1C 4 128 80 80 00 0000 | 隐藏 扇 区 数 
0X20 4 0 0 00 00 0000 | NTFS 未 使 用 ,为 0 
0X24 4 8388736 | 800080 | 80 008000 | NTFS 未 使 用 ,总 为 0X00800080 
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续 表 
值 
字 节 数 & x 
偏 移 十 进 制 | 十 六 进 制 | 存储 形式 
0X28 8 608255 947FF EE 4709 00 总 扇 区 数 ,对 应 分 区 总 扇 区 数 减 1 
00 00 00 00 
0X30 8 25344 6300 906310900 元 文件 $ MFT 开始 簇 号 
00 00 00 00 
0X38 8 2 2 kawa 元 文件 $ MFTMirr FRS 
00 00 00 00 
0X40 1 —10 =A F6 元 文件 $ MFT 每 条 记录 大 小 为 1024 FH 
OX41 3 0 0 00 00 00 未 用 
0X44 1 1 1 01 每 个 索引 节点 大 小 为 1 个 簇 , 即 8 个 扇 区 
AD B2 F6 B8 
0X48 8 Ee 卷 的 序列 号 
0X50 4 0 0 00 00 0000 | 检验 和 
0X54 426 略 引导 记录 
0X1FE 2 55 AA 签名 


使 用 WinHex 的 Boot Sector for NTFS 模板 查看 NTFS_DBR 如 图 6.6 所 示 , 从 图 6.6 可 
知 ,H 盘 的 总 扇 区 数 为 608 255, 比 H 盘 对 应 分 区 表 中 总 扇 区 数 少 1 个 扇 区 ,减少 的 这 个 扇 区 
被 NTFS_DBR 备份 所 占用 。 从 资源 管理 器 查看 H 盘 属性 ,如 图 6.7 所 示 ,H 盘 容 量 一 
311 422 976 字 节 。 


图 


H 盘 的 总 扇 区 数 = H 盘 容 量 — 512 字 节 / 扇 区 


= 608 248 IÑ X 
Offset Title Value 
° 践 转 指令 EB52 
2 空 操作 指令 90 
3 文件 系统 ID NTFS 
B 每 扁 区 字 节 数 512 
° SRMEN 8 
E 保留 局 区 0 
1 总 为 0 000000 
3 未 用 0000 
15 Amt Fa 
16 未 用 0000 
A SAMEA 63 
A 磁头 数 255 
1c REME 128 
2 +M 00 00 00 00 
24 880008000 80 00 80 00 
2 mean 
30 sw 25344 
38 SMFTMin 起 始 笠 号 TE 
40 。。 文件 记录 大 小 括 述 (单位 字 节 ) 1024 OOOO 
m 未 用 CE 
44 mapata 1 
45 未 用 0 
“< SEPSA AD B2F6 B8 
s 32 位 痘 序列 号 (十 六 进 制 ) 反 序 B8F6B2AD 
48 64 位 卷 序列 号 (十 六 进 制 ) AD B2F6 B8 F9 F6 B87A 
so 核验 和 ° 
1FE EROSA 55AA 
楼 板 制作 拒 培 德 (云南 大 学 ) 
6.6 用 WinHex 模 板 查看 H 盘 的 DBR 


311 422 976 字 节 二 512 字 节 / HEK 


mm 本 二 
文件 系统。 nrs 


图 已 空间。 mamawa wiw 
Barza: 


210,635,80 F# 200 mB 
== 


aLam ph — 296 m 


Per margo) 
可 Ei 
TETZA RSIR EINAR D 
Cinw] 


图 6.7 从 资源 管理 器 中 看 到 的 H 盘 属 性 


& 大 话 数据 恢复 


比 使 用 WinHex 的 Boot Sector for NTFS 模板 查看 到 的 总 扇 区 数 少 7 个 扇 区 。 这 7 个 扇 
区 不 能 构成 1 个 完整 的 簇 ,也 就 是 剩余 扇 区 ,这 7 个 扇 区 是 不 能 用 来 存储 文件 或 数据 的 ,因为 
NTFS 是 以 簇 为 单位 来 管理 磁盘 空间 。 

从 表 6.6 可 知 ,在 HH 盘 中 ,1 个 簇 =8 个 扇 区 ,所 以 ,H 盘 总 复数 =H 盘 总 扁 区 数 二 8 Bl 
X /#& 608248 扇 区 二 8 扇 区 / 簇 ==76 031 个 簇 ( 簇 号 范围 为 0~~76 030)。 因 此 ,从 分 区 表 的 结 
构 来 看 ,H 盘 的 总 体 布局 大 致 如 图 6. 8 所 示 。 


元 文件 | 其 他 文件 | ” 某 元 | 其 他 文件 | ” 某 元 | 其 他 文件 | …… 某 元 “| 其 他 文件 | 剩余 | DBR 
$BOOT| 和 数据 | 文件 | 和 数据 | 文件 | 和 数据 文件 | 和 数据 | PC | 备份 


0~ 6082475 AX (对 应 0 ~ 760305% ) 


0~ 608254 号 扇 区 (对 应 0~ 7603158) 


0 ~ 608255; JX 


6.8 H 盘 总 体 布局 图 


6.1.4 有 关 NTFS 容量 计算 公式 


使 用 NTFS 文件 系统 对 逻辑 盘 ( 或 卷 ) 进 行 格式 化 后 ,报告 的 总 容量 是 指数 据 区 所 占 扇 区 
数 的 容量 ,而 不 是 分 区 表 中 总 扇 区 数 乘 以 512 字 节 的 容量 ,也 不 是 NTFS_DBR 中 总 扇 区 数 乘 
以 512 字 节 的 容量 。 计 算 NTFS 文件 系统 容量 公式 如 式 (6.3) 一 式 (6.7) 


逻辑 盘 ( 或 卷 ) 总 扇 区 数 = 对 应 分 区 总 扇 区 数 一 1 (6.3) 
剩余 扇 区 数 = MODOR HAERE) 总 扇 区 数 , 扇 区 数 / 簇 ) (6.4) 
数据 区 所 占 扇 区 数 = 逻辑 盘 ( 或 卷 ) 总 扇 区 数 一 剩余 扇 区 数 (6.5) 
逻辑 盘 总 容量 = 逻辑 盘 ( 或 卷 ) 总 扇 区 数 X 512 字 节 (6.6) 
格式 化 后 逻辑 盘 ( 或 卷 ) 容量 — 数据 区 所 占 扇 区 数 X 512 字 节 Ç6,7) 
簇 号 与 逻辑 扇 区 号 相互 转换 公式 如 式 (6. 8) 一 式 (6. 9): 
逻辑 扇 区 号 = 簇 号 X 扇 区 数 / 艇 十 六 一 1 (6.8) 
S = INTG2 38 BI DC Z 二 扇 区 数 / #E) (6.9) 
计算 逻辑 盘 单独 打开 后 的 开始 扇 区 号 和 结束 扇 区 号 如 式 (6. 10) 一 式 (6. 11): 
逻辑 盘 ( 或 卷 ) 开始 扇 区 号 — 0 (6. 10) 
逻辑 盘 ( 或 卷 ) 结束 扇 区 号 = 数据 区 所 占 扇 区 数 一 1 (6.11) 
HAE 38 8 š gh JJ JF Ja J JF 1638 S E Oi S hl (6.12) —sK (6.13); 
逻辑 盘 ( 或 卷 ) 开始 簇 号 = 0 (6. 12) 


逻辑 盘 ( 或 卷 ) 结束 艇 号 = INT( 数 据 区 所 占 扇 区 数 二 扇 区 数 / 簇 ) Ce. 18) 
说 明 : 
(1) NTFS 文件 系统 的 开始 扇 区 ( 即 0 号 扇 区 ) 存 放 着 NTFS_DBR, 由 于 NTFS_DBR 比 
较 重 要 ,所 以 ,在 该 分 区 的 最 后 一 个 扇 区 存储 着 NTFS_DBR 备份 。NTFS_DBR 备份 不 是 
NTFS 文件 系统 的 组 成 部 分 ; 因此 ,NTFS_DBR 中 所 存储 的 总 扇 区 数 要 比 对 应 分 区 中 存储 的 
总 扇 区 数 少 1 个 扇 区 , 见 式 (6. 3) 。 
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(2) 式 (6.4) 中 ,函数 MOD 表示 取 余 数 ; 式 (6. 8) 中 ,N 为 小 于 或 者 等 于 扇 区 数 / 簇 的 正 整 
数 集合 ; 式 (6. 9) 和 式 (6. 13) 中 ,函数 INT 表示 取 整 。 
NTFS 文件 系统 对 卷 空间 的 管理 是 以 艇 为 单位 , 当 NTFS 文件 系统 所 占 扇 区 数 不 能 被 
“ 扇 区 数 /得 ”整除 时 ,余数 为 剩余 扇 区 ,也 就 是 说 剩余 扇 区 是 大 于 或 者 等 于 1 而 小 于 每 个 簇 的 
扇 区 数 , 位 于 NTFS_DBR 备份 之 前 。 
例 6.4 在 例 6.3 中 ,从 图 6.6 所 显示 的 NTFS_DBR 可 知 ,H 盘 每 个 簇 的 扇 区 数 为 8, 总 
扇 区 数 为 608 255, 请 回答 下 列 问题 : 
(1) 计算 H 盘 格 式 化 后 的 容量 。 
(2) 写 出 H 盘 的 扇 区 号 范围 .剩余 扇 区 号 和 有 效 扇 区 号 范围 。 
(3) 写 出 H 盘 的 复 号 范围 有 效 复 号 范围 、 坏 簇 号 以 及 坏 簇 号 所 包括 的 扇 区 号 。 
(4) 计算 20 号 簇 所 对 应 的 逻辑 扇 区 号 。 
(5) 计算 3001 号 扇 区 所 对 应 的 簇 号 。 
解 : 
(1) 由 式 (6.4) \ 式 (6.5) 和 式 (6.7) 可 知 : 
剩余 扇 区 数 = MOD(NTFS 文件 系统 总 扇 区 数 , 扇 区 数 / fK) = MOD(608 255,8) = 7 
数据 区 所 占 扇 区 数 = NTFS 文件 系统 总 扇 区 数 一 剩余 扇 区 数 — 608 255 一 7 = 608 248 
格式 化 后 再 盘 容量 = 数据 区 所 占 扇 区 数 X 512 字 节 / 扇 区 
= 608 248 扇 区 X 512 FÙ / HE = 311 422 976 字 节 ~ 296MB 
所 以 ,H 盘 格 式 化 后 的 容量 为 296MB, 即 资源 管理 器 中 所 查看 到 的 H 盘 容 量 。 
(2) M H Æ NTFS_DBR 字 节 偏 移 0X28 一 0X2F 可 知 ,H 盘 总 扇 区 数 为 608 255( H 盘 的 
扇 区 号 范围 为 0 一 608 254); 由 于 剩余 扇 区 数 为 7, 而 剩余 扇 区 位 于 H 盘 的 最 后 ; 所 以 ,H ik 
的 剩余 扇 区 范围 为 608 248—608 254; 而 H 盘 有 效 扇 区 范围 为 0 一 608 247。 
(3) H 盘 的 艇 号 范围 为 0 一 76 031; 由 于 剩余 扇 区 数 为 7, 剩余 扇 区 位 于 H 盘 的 最 后 ,所 
以 ,有 效 复 号 范围 为 0 一 76 030; 76 031 号 得 为 坏 复 ,该 坏 篮 号 包括 的 扇 区 号 范围 为 608 248 一 
608 254, 共 计 7 PAK. 
(4) 由 于 扇 区 数 /簇生 8, 所 以 ,N={1,2,3,4,5,6,7,.8} 
当 N=1 时 ,由 式 (6.8) 可 知 : 
逻辑 扇 区 号 一 复 号 X 扇 区 数 / 簇 十 N 一 1 一 20X8 十 1 一 1 一 160; 
当 N=2 时 ,逻辑 扇 区 号 一 161; 
当 N=8 时 ,逻辑 扇 区 号 一 167; 
所 以 ,20 号 复 所 对 应 的 逻辑 扇 区 号 为 160 一 167, 共 计 8 个 扇 区 。 
(5) 由 式 (6.9) 可 知 : 
篮 号 =INT( 逻 辑 扇 区 号 二 扇 区 数 / 艇 ) 王 INT(3001 一 8) 一 375 
即 3001 号 扇 区 所 对 应 的 得 号 为 375; 
同 理 , 可 以 验证 逻辑 扇 区 号 3000、3002、3003、3004、3005、3006 和 3007 这 7 个 扇 区 号 所 对 
应 的 簇 号 也 是 375. 


@ 大 话 数 据 恢 复 
6.2 $MFT 记录 结构 


6.2.1 $MFT 概述 


在 NTFS 文 件 系 统 中 ,最 重要 的 元 文件 就 是 $ MFT, 它 是 NTFS 卷 中 所 有 文件 和 文件 夹 
(目录 ) 的 集合 。 它 记录 着 NTFS 卷 中 所 有 文件 和 文件 夹 的 基本 情况 ,包括 卷 的 信息 .引导 记 
录 、 元 文件 $MFT 本 身 等 的 重要 信息 ,以 及 文件 名 (或 文件 夹 名 ) .文件 安全 属性 、 文 件 大 小 、 
数据 运行 列表 等 等 。 元 文件 $ MFT 由 许多 记录 组 成 ,每 条 记录 的 大 小 固定 为 1024 字 节 ( 即 
1KB) ,一 般 情况 下 ,每 个 文件 或 文件 夹 在 元 文件 $MFT 中 只 占用 一 条 记录 。 如 果 一 条 记录 不 
足以 描述 一 个 文件 或 文件 夹 的 基本 信息 ,NTFS 文件 系统 会 再 为 其 分 配 一 条 记录 , 即 该 文件 或 
者 文件 夹 占 用 两 条 记录 ,NTFS 将 使 用 树 型 结构 对 这 两 条 记录 进行 管理 ; 如 果 两 条 记录 仍然 
不 足以 描述 一 个 文件 或 文件 夹 基本 信息 ,将 会 为 其 再 分 配 一 条 记录 , 即 该 文件 或 者 文件 夹 占用 
3 条 记录 。 同 样 ,NTFS 也 使 用 树 型 结构 对 这 3 条 记录 进行 管理 ,一 个 文件 或 文件 夹 占用 两 条 
以 上 记录 的 情况 并 不 多 见 。 每 条 记录 以 “FILE” 作 为 开始 标记 ,一 般 以 第 1 个 “FF FF FF FF 
00 00 00 00? 或 者 “FF FF FF FF 82 79 47 11”( 存 储 形式 ) 为 结束 标志 。 注 : 记录 结束 位 置 可 
以 通过 记录 开始 位 置 和 记录 实际 长 度 计 算得 到 。 由 于 在 NTFS 文件 系统 中 所 存储 的 文件 (或 
文件 夹 ) 不 同 , 所 以 ,每 个 文件 (或 文件 夹 ) 记 录 所 具有 的 属性 也 不 尽 相同 ,元 文件 $ MFT 的 结 
构 大 致 如 图 6.9 所 示 ( 注 : 假设 元 文件 $ MFT 的 0 号 记录 BOH 属性 值 存放 在 元 文件 $ MFT 
记录 之 前 )。 


$MFT:$Bitmap( 注 : 在 WinHex 中 ,元 文件 SMFT 的 0 号 记录 BOH 属 性 值 一 般 记 作 $SMFT:$Bitmap) 


< | 10H 属 性 记录 结束 标志 
K% | 10H 属 性 i 
k | 10H 属 性 


10H 属 性 


30H 属 性 
ZOHIR HE 
30OHIR HE 
30H 属 性 


80H 属 性 


° 
= 
x 


BOH 属 性 

记录 结束 标 无 用 数据 
无 用 数据 
记录 结束 标志 | 无 用 数据 


v N 

da i 

m m m 
x 


50H 属 性 80H 属 性 


KK | 10H 属 性 | 30H 属 性 | ss: 记录 结束 标志 | 无 用 数据 


6.9 元 文件 $ MFT 结构 示意 图 


6.2.2 $MFT 记录 分 类 


按 元 文件 $ MFT 记录 所 描述 的 内 容 , 可 以 将 元 文件 $MFT 的 记录 划分 为 文件 记录 、 文 
件 夹 记录 和 卷 标记 录 3 种 。 文 件 记 录 所 描述 的 内 容 是 文件 ,文件 夹 记录 所 描述 的 内 容 是 文件 
夹 ,而 卷 标 记录 描述 的 内 容 则 是 卷 标 。 

按 元 文件 $ MFT 中 的 记录 是 否 起 作用 ,可 以 将 元 文件 $MFT 的 记录 分 为 有 效 记 录 和 无 
效 记录 两 种 ; 有 效 记 录 在 元 文件 $ MFT 的 0 号 记录 BOH 属性 值 中 对 应 位 的 值 为 1, 而 无 效 记 
录 在 元 文件 $ MFT 的 0 号 记录 BOH 属性 值 中 对 应 位 的 值 为 0。 无 效 记 录 一 般 又 划分 为 未 使 
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用 的 记录 .已 删除 的 文件 记录 ( 即 文件 被 删除 后 ,该 文件 所 对 应 元 文件 $MFT 中 的 记录 ) 和 已 
删除 的 文件 夹 记录 ( 即 文件 夹 被 删除 后 ,该 文件 夹 所 对 应 元 文件 $MFT 中 的 记录 )。 对 于 卷 
标记 录 而 言 ,不 论 NTFS 卷 是 否 有 卷 标 , 卷 标记 录 均 为 有 效 记 录 。 元 文件 $ MFT 的 记录 分 类 
如 图 6. 10 所 示 ; 详细 分 类 见 表 6.7 所 列 。 


有 效 记录 文件 记录 (记录 头 偏 移 [0X016]=01) 
alai 文件 夹 记录 (记录 头 偏 移 [0X016]=03) 
$MFT 的 0 号 记录 BOH a 
ty 卷 标记 录 (记录 头 偏 移 [OX016]=01) 
$MFT 记 录 
无 效 记 录 已 删除 的 文件 记录 (记录 头 偏 移 [0X016]=00) 


CSMET 的 0 号 记录 BOH 已 出 除 的 文件 夹 记录 (记录 头 偏 移 [0X016]=02) 
属性 值 对 应 位 的 值 =0) | 未 使 用 的 记录 (记录 头 偏 移 [0X016]=00) 


图 6.10 元 文件 $ MFT 记录 分 类 的 情况 
表 6.7 元 文件 $ MFT 记录 分 类 表 


记录 类 型 š n 22 
记录 描述 文件 记录 文件 夹 记录 卷 标记 录 
是 否 有 效 ? 有 效 无 效 有 效 无 效 有 效 
$ MFT 的 0 号 记录 BOH 属性 值 对 应 位 的 值 1 0 0 1 
该 记录 头 偏 移 0X016 处 bit, 的 值 0 0 1 1 0 
该 记录 头 偏 移 0X016 处 bito 的 值 1 0 1 0 1 


注 : 本 书 中 所 提 及 的 元 文件 $ MFT 记录 ,如 果 没 有 作 特 别 说 明 均 是 指 有 效 记录 。 
6.2.3 $MFT 记录 结构 


从 图 6.9 可 知 , 元 文件 $ MFT 中 的 每 条 记录 由 记录 头 ,若干 个 属性 ( 即 记录 体 ) 、 记 录 结 束 
标志 和 无 用 数据 4 部 分 组 成 。 一 般 情况 下 ,记录 头 的 长 度 是 固定 的 ,而 每 个 属性 的 长 度 往往 是 
不 固定 的 ,属性 的 分 配 是 以 8 字 节 为 单位 。 

属性 的 划分 方法 为 : 从 偏 移 地 址 0X38 找到 10H 属性 ,每 个 属性 偏 移 地 址 0X04 — 0X07 
处 是 该 属性 所 占 字 节 数 ,计算 属性 开始 地 址 、 结 束 地 址 和 记录 结束 地 址 如 式 (6. 14) 一 式 (6. 16): 

属性 开始 地 址 = 上 一 个 属性 开始 地 址 十 上 一 个 属性 所 占 字 节 数 (6.14) 
属性 结束 地 址 = 属性 开始 地 址 + 属性 所 占 字 节 数 一 1 (6 
记录 结束 地 址 — 记录 开始 地 址 十 记录 实际 长 度 一 1 (6. 16) 

例 6.5 HH 盘 文 件 夹 名 为 “长 文件 名 ”, 在 元 文件 $MFT 的 记录 号 为 15406, 其 记录 头 与 
各 属性 的 划分 如 图 6. 11 所 示 。 注 : 在 WinHex 下 读 取 记录 的 操作 方法 为 位置 一 Go To 
FILE Record…” 在 弹出 的 窗口 中 输入 记录 号 。 

从 图 6. 11 可 知 ,15406 号 记录 由 记录 头 、5 个 属性 .记录 结束 标志 以 及 无 用 数据 4 部 分 组 
成 ,各 部 分 地 址 划分 情况 见 表 6. 8 所 列 。 

说 明 

A) AK 6. 8 可 知 ,每 个 属性 开始 位 置 偏 移 均 为 00 sk 08; 

(2) 该 记录 以 “FF FF FF FF 82 79 4711”( 存 储 形式 ) 为 结束 标志 ; 

(3) 记录 结束 标志 以 后 的 数据 为 无 用 数据 。 


@ 大 话 数据 恢复 


A5 4F 9F OE E4 61 DO 01 
A5 4F 9F 0E E4 61 D0 01 
00 00 00 00 00 00 00 00 
00 00 00 00 00 00 00 00 
30 00 00 00 68 00 00 00 
4A 00 00 00 18 00 01 00 


05 C9 9D OE E4 61 DO 01 


05 C9 9D OE E4 61 DO 01 


00 00 00 00 00 00 00 00 


00 00 00 10 00 00 00 00 


0D 54 00 00 00 00 00 00 


00 04 18 00 00 00 05 00 
24 00 49 00 33 00 30 00 
00 10 00 00 01 00 00 00 
28 00 00 00 01 00 00 00 
18 00 00 00 03 00 00 00 
AO 00 00 00 50 00 00 00 
00 00 00 00 00 00 00 00 


Offset 

07208800 

07208810 

07208820 

07208830 

07208840 00 
07208850 05 C9 9D OE E4 61 DO 01 
0720B860 A5 4F 9F OE E4 61 DO 01 
0720B870 00 00 00 00 00 00 00 00 
07208880 00 00 00 00 05 01 00 00 
0720B890 00 00 00 00 00 00 00 00 
0720B8A0 00 00 00 00 00 00 02 00 
0720B8B0 05 00 00 00 00 00 05 00 
0720B8C0 05 C9 9D OE E4 61 DO 01 
0720B8D0 05 C9 9D OE E4 61 DO 01 
0720B8E0 00 00 00 00 00 00 00 00 
0720B8F0 04 03 7F 95 87 65 F6 4E 
0720B900 90 00 00 00 58 00 00 00 
0720B910 38 00 00 00 20 00 00 00 
0720B920 30 00 00 00 01 00 00 00 
0720B930 10 00 00 00 28 00 00 00 
0720B940 00 00 00 00 00 00 00 00 
0720B950 00 00 00 00 00 00 00 00 
0720B960 01 04 40 00 00 00 03 00 
0720B970 00 00 00 00 00 00 00 00 


48 00 00 00 00 00 00 00 


0720B980 00 10 00 00 00 00 00 00 


00 10 00 00 00 00 00 00 


00 10 00 00 00 00 00 00 


24 00 [用 地 址 0X0720B832~ 


00 04 18 00 00 00 04 00 


0720B9Cd 


21 01 49 46 00 00 00 00 


BO 00 4 0X0720B833 的 值 
08 00 (“73 00" 替 换 "0400” 


24 00 49 00 33 00 30 oeann eono A fo 
APERA 
“0720B9E0 82 00 65 00 66 00 67 od 0X0720B83sitlt 
“0000" 蔡 换 "0400” 

0720B9F0 6C 00 6D 00 6E 00 6F 00 — ð 
.….( 注 : 省 略 部 分 为 无 用 数据 ) 
0720BBFO 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
6.11 15406 号 记录 的 基本 结构 
36.8 15406 号 记录 各 部 分 划分 情况 表 ( 注 : 表 中 数据 为 十 六 进 制 ) 

地 hk 所 占 字 节 数 地 HE 作 所 占 字 节 数 
0720B800 一 B837 记录 头 38 0720B958~B9A7 ”A0H 属性 50 
0720B838— B897 10H 属性 60 0720B9A8~B9CF BOH 属性 28 
0720B898~B8FF 30H 属性 68 0720B9D0~B9D7 ”记录 结束 标志 8 
0720B900 一 B957 90H 属性 58 0720B9D8 一 BBFF ”无 用 数据 228 


6.2.4 记录 头 结构 


记录 头 以 “FILE” 开 始 , 其 长 度 一 般 是 固定 的 ,从 偏 移 地 址 0X00 开始 到 0X37 结束 ,共计 
56 字 节 ( 注 : 由 于 NTFS 版 本 不 同 , 记 录 头 的 大 小 也 会 有 所 不 同 , 本 章 所 研究 的 NTFS 版 本 为 


V3.1)。 记 录 头 结构 见 表 6.9 所 列 。 


表 6.9 记录 头 结构 


FURE FHA 含义 
0X00 4 记录 开始 标志 ,一 定 是 字符 串 “FILE” 
0X04 2 更 新 序列 号 的 偏 移 
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# 
字 节 偏 移 FHA A x 
0X06 2 更 新 序列 号 的 个 数 与 更 新 数组 之 和 ,一 般 为 3, 即 1 个 更 新 序列 号 ,2 个 更 新 数组 
0X08 8 日 志文 件 序列 号 ($Logfile Sequence Number) 
0X10 2 记录 被 使 用 和 删除 的 次 数 
0X12 2 硬 连接 数 , 即 有 多 少 个 目录 指向 该 文件 (或 目录 ) 
0X14 2 第 一 个 属性 的 偏 移 地 址 
0X16 2 标志 ,0000H 表示 文件 被 删除 ,0001H 表示 文件 正在 使 用 ,0002H 表示 文件 夹 被 
删除 ,0003H 表示 文件 夹 正在 使 用 , 低 字 节 说 明 见 图 6. 12 所 示 
0X18 4 记录 实际 长 度 , 单 位 : 字 节 , 即 从 记录 头 至 记录 结束 标志 之 间 的 长 度 
0X1C 4 记录 分 配 长 度 ,单位 : 字 节 ,一 般 为 1024 字 节 
0X20 8 基本 文件 记录 中 的 文件 索引 号 
0X28 Š 下 一 属性 ID, 当 增加 新 的 属性 时 ,将 该 值 分 配给 新 属性 ,然后 该 值 增 加 ,如 果 
$ MFT 记录 重新 使 用 , 则 将 该 值 置 为 0 
0X2A 2 边界 
0X2C 4 记录 号 
0X30 2 更 新 序列 号 ,该 值 与 第 1 扇 区 和 第 2 扇 区 最 后 两 个 字 节 的 值 相同 。 如 果 是 文件 ， 
当 对 文件 进行 建立 ,编辑 、 删 除 等 操作 时 ,该 值 会 自动 加 1。 如 果 是 目录 ,在 目录 
内 建立 目录 或 文件 时 或 对 目录 或 文件 进行 删除 操作 时 ,该 值 也 会 自动 加 1 
0X32 2 第 1 扇 区 的 更 新 数组 ,用 该 值 去 更 新 第 1 个 扇 区 的 最 后 两 个 字 节 
0X34 2 第 2 扇 区 的 更 新 数组 ,用 该 值 去 更 新 第 2 个 扇 区 的 最 后 两 个 字 节 
0X36 2 填充 至 8 的 倍数 (无 意义 ) 
十 六 进 制 数 00 01 02 03 
| | I i 
- 进 制 数 00000000 | | 00000001 | | 00000010 00000011 
解释 文件 正常 文件 夹 删除 文件 夹 正常 
| 
结论 00 ol | 02 | 03 
删除 的 文件 正常 的 文件 删除 的 文件 夹 | “| 正常 的 文件 夹 


图 6.12 记录 头 偏 移 0X16 处 的 “标志 字 节 ”注解 


例 6.6 元 文件 $MFT 的 15406 号 记录 头 部 分 说 明 如 图 6. 13 所 示 ,详细 说 明 见 表 6. 10 
所 列 。 


00000000 
00000010 


00 00 00 00 00 
00000035~~|02 00] 73 00 op 


10H 属 性 偏 移 地 址 ] [标志 字 节 ， 说 明 见 图 6.12 


图 6.13 15406 号 记录 头 部 分 说 明 


@ 大 话 数据 恢复 


表 6.10 15406 号 记录 头 说 明 


字 节 值 
字 节 数 & x 
偏 移 十 进 制 | 十 六 进 制 | 存储 形式 
0X00 4 46 49 4C 45 | 记录 开始 标志 ,一 定 是 字符 串 “FILE” 
0X04 z 48 30 30 00 更 新 序列 号 的 偏 移 地 址 为 0X0030 
0X06 z 3 03 03 00 更 新 序列 号 的 个 数 为 1, 更 新 数组 为 2, 共计 为 3 


0X08 8 6593888| 649D60 


60 9D 64 00| 日 志文 件 序列 号 ($Logfile Sequence Number) 
00 00 00 00 | 为 0X649D60 


0X10 2 1 1 01 00 该 记录 被 使 用 或 者 删除 的 次 数 为 1 次 

0X12 z 1 1 01 00 硬 连接 数 为 1, 即 只 有 1 个 目录 指向 该 记录 

0X14 2 56 38 38 00 第 一 个 属性 偏 移 地 址 为 X038, 即 10H 属性 偏 移 地 址 

0X16 2 š 3 03 00 0X0003 表示 文件 夹 正在 使 用 ,说 明 见 图 6. 12 

pe š i Ibë Be 5 = 0X01D7 — 0X0000 + 1 = 0X01D8 

0X1C 4 1024 400 00 04 记录 分 配 长 度 为 0X0400 * 

ox20 | 8 o 0 |00000000] 基本 文件 记录 中 的 文件 索引 号 为 0 

00 00 00 00 

0X28 2 6 06 06 00 下 一 个 属性 的 ID 号 为 06 

0X2A 区 0 0 00 00 边界 

0X2C 4 15406 | 3C2E |2E 3C 00 00 a o iii pauk 

et š F j APR 更 新 序列 号 为 0X0004, 即 这 两 个 扇 区 的 最 后 两 个 字 
节 的 值 为 “04 00”( 存 储 形式 ) 

人 ig r ma 用 偏 移 地 址 0X32 一 0X33 的 值 *73 00” 更 新 偏 移 地 址 
0X1FE—0X1FF 的 值 *04 00”( 存 储 形式 ) 

ce God 用 偏 移 地 址 0X34 一 0X35 的 值 *00 00” 去 更 新 偏 移 地 
址 为 0X3FE 一 0X3FF 的 值 “04 00”( 存 储 形式 ) 

OX036 2 0 00 00 00 填充 至 8 的 倍数 ,无 意义 


NTFS 通过 给 一 个 文件 创建 几 个 文件 属性 的 方式 来 实现 POSIX 的 硬 连 接 。 每 一 个 文件 
属性 都 有 自己 的 详细 信息 和 父 目 录 , 当 删除 一 个 硬 连 接 时 ,相应 的 文件 名 从 $MFT 文件 记录 
中 删除 , 当 所 有 的 硬 连接 删除 后 ,文件 才 被 完全 删除 。 


6.2.5 记录 属性 


每 条 记录 的 记录 头 之 后 一 般 是 10H 属性 ( 即 记录 的 第 1 个 属性 ) ,10H 属性 的 偏 移 地 址 一 
般 从 0X38 开始 , 接 下 来 是 第 2 个、 第 3 个 和 第 4 个 属性 等 等 ,最 后 一 个 属性 结束 后 ,一 般 是 
“FF FF FF FF 00 00 00 00? 或 者 “FF FF FF FF 82 79 47 11”( 存 储 形式 ) ,表示 该 记录 后 已 无 
属性 。 注 : 记录 结束 地 址 可 以 通过 记录 实际 长 度 计算 得 到 。 

由 于 存储 在 NTFS 卷 中 的 文件 或 文件 夹 不 同 ,所 以 ,在 元 文件 $ MFT 中 对 应 的 文件 记录 


或 文件 夹 记录 所 具有 
型 ,各 属性 的 长 度 也 得 


的 属性 也 往往 不 一 样 ,每 条 记录 的 各 个 属性 是 相对 独立 的 ,有 各 自 的 类 
E 往 是 不 一 样 的 ,每 个 属性 的 长 度 均 为 8 的 倍数 。 注 : 如 果 属 性 的 长 度 不 


是 8 的 倍数 , 则 填充 多 余数 据 至 8 的 倍数 。 
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在 元 文件 $ AttrDef 中 预定 义 了 常用 的 属性 ,可 以 直接 使 用 ,标准 信息 的 属性 名 用 10H 表 
示 , 属 性 列表 中 的 属性 名 用 20H 表示 ,文件 名 的 属性 名 用 30H 表示 等 ,把 属性 专门 存放 在 一 
个 文件 中 ,可 以 大 大 节省 系统 开销 。 表 6. 11 给 出 了 属性 类 型 及 其 含义 。 


表 6.11 NTFS 的 属性 类 型 及 其 含义 表 


属性 类 型 


属性 类 型 名 


属性 含义 及 描述 


10H 


20H 


30H 


40H 


50H 


60H 
70H 


$ STANDARD_INFORMATION 标准 信息 : 包括 文件 的 一 些 基 本 信息 ,如 : 建立 文件 ,修改 、 


$ ATTRIBUTE_LIST 


$FILE_NAME 


$OBJECT_ID 


$ SECURITY_DESCRIPTOR 


$ VOLUME_NAME 
$ VOLUME_INFORMATION 


$ DATA 


$ INDEX_ROOT 
$ INDEX_ALLOCATION 
$ BITMAP 


$ REPARSE_POINT 

$ EA_INFORMATION 

$ EA 

$ PROPERTY_SET 

$ LOGGED_UTILITY_STREAM 


存 取 的 日 期 时 间 等 等 ,以 及 有 多 少 个 文件 指向 该 记录 
属性 列表 : 当 一 个 文件 需要 多 个 文件 记录 时 ,用 来 描述 文件 
的 属性 列表 

文件 名 : 用 Unicode 字符 表示 文件 名 , 当 用 户 使 用 长 文件 名 
时 ,NTFS 会 自动 生成 一 个 短文 件 名 ,此 时 该 记录 有 两 个 
30H 属性 ,一 个 描述 的 是 短文 件 名 属性 ,而 另 一 个 描述 的 是 
长 文件 名 属性 

对 象 ID: 一 个 具有 64 字 节 的 标识 符 , 其 中 : 低 16 字 节 对 卷 
来 说 是 唯一 的 (链接 跟踪 服务 为 外 过 快捷 方式 , 即 OLE fë 
接 源 文件 赋予 对 象 ID; NTFS 提供 的 API 是 直接 通过 这 些 
对 象 的 ID 而 不 是 文件 名 来 打开 文件 的 》 

安全 描述 : 这 是 为 向 后 兼容 而 保留 的 。 主 要 用 于 保护 文件 
以 防止 没有 授权 的 访问 ,但 在 Windows 2000/XP 中 已 将 安 
全 描述 存放 在 $ Secure 元 数据 中 ,以 便于 共享 ( 注 : 早 期 的 
NTFS 将 其 与 文件 目录 一 起 存放 ,不 便于 共享 

该 属性 描述 卷 标识 , 仅 存在 于 元 文件 $ Volume 记录 中 

该 属性 描述 卷 的 基本 信息 , 仅 存 在 于 元 文件 $ Volume iË 
录 中 

该 属性 描述 文件 内 容 的 基本 情况 ,如 :文件 的 大 小 内容 存 
储 位 置 等 

文件 夹 B 一 树 根 节点 

该 属性 描述 文件 夹 的 位 置 

元 文件 $ MFT 记录 使 用 情况 位 图 或 文件 夹 索引 节点 使 用 
情况 位 图 

重 解析 点 

扩充 属性 信息 

扩充 属性 

早期 的 NTFS V1. 2 中 才 有 

EFS 加 密 属性 ,该 属性 主要 用 于 存储 实现 EFS 加 密 的 有 关 
加 密 信息 ,如 合法 用 户 列表 、 解 码 密 钥 等 


每 个 属性 总 是 以 十 六 进 制 数 开 头 , 占 4 字 节 。 例如: 10H 属性 ,以 “10 00 00 00”( 存 储 形 
式 ) 开 头 ,而 30H 属性 则 以 “30 00 00 00”( 存 储 形式 ) 开 头 , 接 下 来 是 该 属性 所 占 字 节 数 。 通 过 
属性 所 占 字 节 数 , 可 以 计算 出 下 一 个 属性 的 开始 位 置 。 


6.2.6 记录 属性 分 类 


元 文件 $ MFT 每 条 记录 中 的 每 个 属性 根据 其 是 否 有 属性 体 可 以 分 为 两 种 情况 。 


@ 大 话 数据 恢复 


一 种 情况 是 该 属性 只 有 属性 头 而 无 属性 体 , 这 种 情况 一 般 只 存在 于 文本 文件 记录 的 80H 
属性 中 , 且 文本 文件 的 内 容 为 空 ; 该 属性 的 长 度 一 般 为 24 字 节 。 
另外 一 种 情况 是 该 属性 由 两 部 分 组 成 : 即 属性 头 十 属性 体 ( 即 属性 内 容 )。 对 于 这 种 情 
况 ,根据 该 属性 的 属性 体 是 否 常 驻 于 该 记录 中 ,可 以 将 属性 划分 为 常 驻 属 性 和 非常 驻 属 性 两 
种 。 对 于 常 驻 属性 而 言 , 其 属性 体 紧 跟 在 属性 头 之 后 ; 而 对 于 非常 驻 属性 而 言 , 属 性 体 的 位 置 
由 属性 头 中 的 数据 运行 列表 来 确定 。 根 据 该 属性 是 否 有 属性 名 ,可 以 将 属性 划分 为 有 属性 名 
属性 和 无 属性 名 属性 两 种 ,对 于 有 属性 名 的 属性 而 言 ,其 属性 体 存储 的 内 容 以 属性 名 的 方式 排 
序 存放 ; 而 对 于 无 属性 名 的 属性 而 言 , 属 性 体 存储 的 内 容 没 有 排序 存放 。 组 合 后 可 以 将 这 种 
情况 的 属性 划分 为 4 种 类 型 , 即 常 驻 无 属性 名 、 常 驻 有 属性 名 、 非 常 驻 无 属性 名 和 非常 驻 有 属 
性 名 。 属 性 划分 如 图 6. 14 所 示 ,4 种 不 同类 型 属性 其 属性 头 的 定义 是 不 相同 的 ,下 面 针 对 这 
4 种 类 型 属性 分 别 进行 介绍 。 
属性 头 (如 : 某 些 文件 记录 的 80H 属 性 ) 
a aiei 在 国 作 大 之 后 ) (如 :90H 、 某 些 文件 夹 记录 的 BOH 属 性 等 
ta J 非常 驻 (属性 体 的 | 非常 入 无 属性 名 
属性 体 “| 位 置 由 属性 头 中 的 《 (如 : 某 些 文件 记录 80H 属 性 等) 
数据 运行 列表 确定 ) 【非常 驻 有 属性 名 (如 :A0H 属 性 等 ) 


6.14 属性 划分 图 


1. 常 驻 无 属性 名 


常 驻 无 属性 名 属性 结构 见 表 6. 12 所 列 。 
表 6.12 常 驻 无 属性 名 属性 结构 


字 节 偏 移 | 字 节 数 Eo x 备注 

0X00 属性 类 型 ,如 : 10H、30H 属性 、 某 些 文件 记录 的 80H 属性 等 
0X04 包括 属性 头 在 内 本 属性 长 度 (单位 : 字 节 ) ,假设 为 M 
0X08 常 驻 与 非常 驻 标志 (00 表示 常 驻 、01 表示 非常 驻 ) ,此 处 为 00 
0X09 属性 名 长 度 (00 表示 没有 属性 名 ) ,此 处 为 00, 如 果 为 其 他 值 则 无 意义 
0XOA 属性 名 的 开始 偏 移 地 址 ,此 处 为 00; 如 果 不 是 00, 则 无 意义 

压缩 ,加密 、 稀 朴 标 志 : 0001H 表示 该 属性 是 被 压缩 的 ; 4000H 表示 该 属性 

是 被 加 密 的 ; 8000H 表示 该 属性 是 稀 朴 的 

属性 ID 标识 

属性 体 的 长 度 ,假设 为 工 (单位 : 字 节 ) 

属性 体 的 开始 偏 移 地 址 

索引 标志 

无 意义 (不 足 8 字 节 ,填充 为 8 字 节 ) 

该 属性 体 的 内 容 属性 体 


|= ==] 


0X0C 


N 
HEA 


0X0E 
0X10 
0X14 
0X16 
0X17 
0X18 


r= — s| =í 


例 6.7 元 文件 $MFT 中 15406 号 记录 的 10H 属性 为 常 驻 无 属性 名 属性 ,详细 说 明 如 
图 6.15 所 示 。 注 : 在 图 6.15 中 无 阴影 部 分 为 属性 头 ,阴影 部 分 为 属性 体 。 
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(o: 无 性 名 ) (ERR 无 EX e 


pq bq po od oo oo oo oo 


05 C9 9D OE E4 61 DO 0 一/A5 4F 9F OE E4 DO 01 
00: 常 驻 属 1 A5 4F 9 HK- REH pora 
Em) ; EM; 长 度 为 0X48 属性 体 开始 信 移 在 


pon ann nr ni nt 00 00 E 


[ 阴影 部 分 为 属性 体 数值 上 等 于 属性 头 的 
长 度 为 0X18 
00 00 00 00 00 00 00 00 


6.15 15406 号 记录 10H 常 驻 无 属性 名 属性 标注 


2. 常 驻 有 属性 名 


常 驻 有 属性 名 属性 结构 见 表 6. 13 所 列 。 
表 6.13 常 驻 有 属性 名 属性 结构 


字 节 偏 移 | 字 节 数 告 x 备注 
0X00 4 属性 类 型 ,如 : 某 些 文件 夹 记录 的 90H BOH 属性 等 
0X04 4 包括 属性 头 在 内 本 属性 长 度 ( 单 位 : 字 节 ) 
0X08 1 常 驻 与 非常 驻 标志 (00 表示 常 驻 ,01 表示 非常 驻 ) ,此 处 为 00 
0X09 1 属性 名 称 的 长 度 ,假设 为 N,N 为 大 于 或 等 于 1 的 正 整数 
OXOA 2 属性 名 的 开始 偏 移 地 址 
0X0C š 压缩 ,加密 、 稀 朴 标志 : 0001H 表示 该 属性 是 被 压缩 的 ; 4000H 表示 该 属性 属 
是 被 加 密 的 ; 8000H 表示 该 属性 是 稀 朴 的 性 
0X0E | 2 | 局 性 人 标识 x 
0X10 4 属性 体 的 长 度 , 假 设 为 L,L 为 大 于 或 等 于 1 的 正 整 数 
0X14 2 属性 体 的 开始 偏 移 地 址 
0X16 1 索引 标志 
0X17 1 无 意义 (不 足 8 字 节 ,填充 为 8 字 节 ) 
0X18 2XN | 属性 名 
0X18+2N| L 该 属性 体 的 内 容 属性 体 


例 6.8 元 文件 $MFT 中 15406 号 记录 的 BOH 属性 为 常 驻 有 属性 名 ,属性 头 详细 说 明 
如 图 6. 16 所 示 ( 注 : 在 图 6. 16 中 无 阴影 部 分 为 属性 头 , 阴 影 部 分 为 属性 体 ) 。 


属性 占 0X28 字 节 


属性 名 的 长 度 】 | 属性 名 开始 的 | | 属性 体 的 长 度 
偏 移 为 0X18 “ 儿 为 0X08 字 节 
METITA Bo 00 00 00 
= 18 OO) 00 00 04 00 Nps 00 00 od fo od oo 00 
01 00 00 00 00 XŠ 


阴影 部 分 为 属性 体 ， 
属性 名 的 Unicode 码 长 度 为 0X08 字 节 


图 6.16 15406 号 记录 BOH 常 驻 有 属性 名 的 属性 标注 


属性 体 开 始 的 偏 移 为 0X20 


@ 大 话 数据 恢复 


3. 非常 驻 无 属性 名 
非常 驻 无 属性 名 属性 结构 见 表 6. 14 所 列 。 


表 6.14 非常 驻 无 属性 名 属性 结构 


字 节 偏 移 | 字 节 数 & x 备注 
a i 属性 类 型 ,如 : 元 文件 $ MFT 的 0 号 记录 BOH 属性 , 某 些 文件 记录 的 80H 
属性 
0X04 4 属性 头 长 度 (单位 : FW 
0X08 1 常 驻 与 非常 驻 标志 (00 表示 常 驻 ,01 表示 非常 驻 ) ,此 处 为 01 
0X09 1 属性 名 长 度 (00 表示 没有 属性 名 ) ,此 处 为 00 
0XOA 属性 名 的 开始 偏 移 地 址 ,此 处 为 00。 如 果 不 是 00, 则 无 意义 
s 5 压缩 .加密 、 稀 朴 标 志 : 0001H 表示 该 属性 是 被 压缩 的 ; 4000H 表示 该 属性 
是 被 加 密 的 ; 8000H 表示 该 属性 是 稀疏 的 
OXOE 2 | 属性 ID 标识 属 
0X10 8 属性 体 开始 VCN, 开 始 VCN 为 0 F 
0X18 8 属性 体 结束 VCN ,结束 VCN H FH hi ik AI 1 
0X20 2 数据 运行 列表 偏 移 地 址 
0X22 2 压缩 单位 大 小 (2* 簇 ) ,如 果 为 0000 表示 未 压缩 
0X24 4 无 意义 
0X28 8 属性 体 分 配 大 小 ,单位 : 字 节 
0X30 8 属性 体 实际 大 小 ,单位 : 字 节 
0X38 8 属性 体 初始 化 大 小 ,单位 : 字 节 
0X40 数据 运行 列表 
说 明 


NTFS 使 用 人 逻辑 簇 号 (LCN) 和 虚拟 入 号 (VCN) 来 对 文件 或 者 文件 夹 的 存储 位 置 进行 定 
位 ; LCN 是 对 整个 NTFS 卷 中 所 有 的 得, 从 0 开始 按 顺序 连续 编号 ,结束 LCN 为 整个 NTFS 
卷 所 占 总 簇 数 减 1; VCN 是 一 个 与 非常 驻 属性 相关 联 的 概念 。VCN 是 对 非常 驻 文件 或 文件 
夹 的 簇 号 从 头 到 尾 进行 顺序 编号 ,以 便于 系统 引用 文件 中 的 数据 。VCN 和 LCN 可 以 通过 数 
据 运行 列表 相互 映射 。 从 逻辑 上 看 ,一 个 文件 或 文件 夹 的 VCN 总 是 连续 的 ; 但 LCN 则 不 一 


定 连续 。 每 个 文件 或 文件 夹 开 始 VCN 为 0, 而 结束 VCN 为 文件 或 文件 夹 所 占 复数 之 和 减 1。 
例 6.9 元 文件 $MFT 中 0 号 记录 的 80H 属性 和 BOH 属性 为 非常 驻 无 属性 名 属性 ,如 
图 6.17 所 示 。 


Offset 

06300100 
06300110 
06300120 
06300130 
06300140 
06300150 
06300160 
06300170 
06300180 


01234567 8 9 A 
80 00 00 00 48 00 00 00 0100400 
00 00 00 00 00 00 00 00 3F OF 00 Ol 
40 00 00 00 00 00 00 00 00 00 F4 O| 
00 00 F4 00 00 00 00 00 00 00 F4 O| 
22 40 OF 00 63 00 AC 92 BO 00 00 O| 
01 00 40 00 00 00 05 00 00 00 00 0 
01 00 00 00 00 00 00 00 40 00 00 O| 
00 20 00 00 00 00 00 00 08 10 00 O| 
08 10 00 00 00 00 00 00 21 01 FF 6 


图 6.17 0 号 记录 的 80H 和 BOH 属性 
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这 里 以 80H 属性 为 例 , 对 非常 驻 无 属性 名 的 属性 头 详细 说 明 如 图 6. 18 所 示 ,而 属性 体 的 


位 置 由 数据 运行 列表 ( 即 “22 40 OF 00 63”) 来 确定 。 


属性 名 开始 偏 


o: EREA) |w Cesta. 


[oH 属性 ] [属性 头 点 0x48 字 节 ] | ol: 非 常 驻 属 性 


开始 VCN Bo 00 00 oq 8 00 00 oq 


TEPER po 00 00 00 00 00 00 00) BF OF 00 00 00 00 00 00 
A 而 属性 体 分 配 大 小 
表 偏 移 地址 — 0 OO] 00 00 00 00 00 00 [o 00 F4 00 00 00 00 OÓ 。 枉 必 性 体 分 配 


po 00 F4 00 00 00 00 00 | Do 00 F4 00 00 00 00 Te 
属性 体 初 始 化 大 小 
数据 运行 列表 一 p35 40 OF 00 63 00 AC 93 属性 体 实际 大 小 ] - 


6.18 0 号 记录 80H 属性 头 情况 (非常 驻 无 属性 名 ) 


4. 非常 驻 有 属性 名 
非常 驻 有 属性 名 属性 结构 见 表 6. 15 所 列 。 
表 6.15 非常 驻 有 属性 名 属性 结构 


字 节 偏 移 | 字 节 数 & x 备注 
0X00 4 属性 类 型 ,如 : A0H 属性 
0X04 4 属性 头 长 度 (单位 : FH) 
0X08 1 常 驻 与 非常 驻 标志 (00 表示 常 驻 ,01 表示 非常 驻 ) ,此 处 为 01 
0X09 1 属性 名 长 度 ,假设 为 N,N 为 大 于 或 等 于 1 的 正 整 数 
0XOA 2 属性 名 的 开始 偏 移 地 址 
aè r EA ME ERE: 0001H 表示 该 属性 是 被 压缩 的 ; 4000H 表示 该 属性 
是 被 加 密 的 ; 8000 H 表示 该 属性 是 稀 朴 的 
0X0E 2 属性 ID 标识 
0X10 8 属性 体 开始 VCN, 开 始 VCN 为 0 属 
0X18 8 属性 体 结束 VCN, 结 束 VCN X HF h iR AYR 1 F: 
0X20 2 运行 列表 偏 移 地 址 
0X22 š 压缩 单位 大 小 (2* #8) ,如 果 为 0000 表示 未 压缩 
0X24 4 无 意义 
0X28 8 属性 体 分 配 大 小 ,单位 : 字 节 
0X30 8 属性 体 实 际 大 小 ,单位 : 字 节 
0X38 8 属性 体 初始 化 大 小 ,单位 : 字 节 
0X40 2XN | 该 属性 的 属性 名 


0X40 十 2N 数据 运行 列表 


例 6.10 元 文件 $MFT 中 记录 号 为 15406 的 A0H 属性 为 非常 驻 有 属性 名 属性 ,详细 说 


明 如 图 6. 19 所 示 。 属 性 体 的 位 置 由 数据 运行 列表 ( 即 *21 01 49 46”) 来 确定 。 
注 : 常 驻 文件 属性 从 不 被 压缩 (也 没有 压缩 引擎 号 域 ) ,因为 它 的 流 太 小 。 


开始 VCN 为 0 


@ 大 话 数 据 恢复 
属性 名 开始 伍 | AOH 属 性 | | 属性 头 占 0X50 字 节 
移 为 0X40 
ko oo oo oo 5o 00 oo oi 


性 名 长 度 为 4 
个 Unicode 码 
po 00| 00 00 03 00 [00 00 00 00 00 00 s 


0 0 
属性 体 分 0 00 00 00 00 00 00 oq M8 00 00 00 00 00 00 oO! 


O Í mtttt 
配 大 小 oo 10 00 00 00 00 00 09 ”bo 10 00 00 00 00 00 00N) 实际 大 小 


IEE 00 10 00 00 00 00 00 oq 24 00 49 00 33 00 30 00 
wit ks f BI O1 49 46 00 00 00 0 一 RR 列表] Ñ RIER Unicoden) 


6.19 15406 号 记录 的 非常 驻 有 属性 名 的 属性 结构 


数据 运行 列表 
的 偏 移 地 址 


6.3 文件 和 文件 夹 记录 常用 属性 


在 元 文件 $ MFT 的 记录 中 ,使 用 得 比较 多 的 属性 主要 有 : 10H 属性 ,30H 属性 .80H 属 
性 .90H 属性 .A0H 属性 和 BOH 属性 。 其 中 : 文件 记录 使 用 较 多 的 属性 有 10H 属性 、30H 属 
性 和 80H 属性 ; 小 文件 夹 记录 使 用 较 多 的 属性 有 10H 属性 .30H 属性 和 90H 属性 ,大 文件 夹 
使 用 较 多 的 属性 有 10H 属性 .30H 属性 .90H 属性 .A0H 属性 和 BOH 属性 。 而 有 些小 文件 夹 
记录 使 用 的 属性 也 可 能 有 10H 属性 .30H 属性 .90H JR PE, AOH 属性 和 BOH 属性 ,这 类 文件 
夹 往往 是 由 小 文件 夹 变 为 大 文件 夹 后 ,再 变 为 小 文件 夹 , 即 用 户 将 文件 夹 中 的 文件 删除 后 , 文 
件 夹 中 的 剩余 文件 数量 非常 少 ,甚至 是 空 文件 夹 而 形成 的 小 文件 夹 。 


6.3.1 10H 属性 


10H 属性 的 类 型 名 为 $ STANDARD_INFORMATION (标准 信息 ), 是 所 有 文件 或 文件 
夹 记 录 都 具有 的 属性 , 它 包 含 了 文件 或 文件 夹 的 一 些 基本 信息 ,如 : 文件 或 文件 夹 建 立 的 日 
期 .时间 ,有 多 少 个 目录 指向 该 文件 或 文件 夹 等 等 , 它 是 一 个 常 驻 无 属性 名 的 属性 。 该 属性 位 
于 记录 头 之 后 , 偏 移 地 址 一 般 为 0X38 一 0X97, 其 属性 头 和 属性 体 的 长 度 均 是 固定 的 ,属性 头 
的 长 度 为 24 字 节 ,属性 体 的 长 度 为 72 字 节 ,10H 属性 的 结构 见 表 6. 16 所 列 。 


表 6.16 10H 属性 (标准 属性 ) 结 构 


字 节 偏 移 | 字 节 数 w R 备注 
0X00 4 10H 属性 
0X04 4 该 属性 长 度 , 一 般 为 0X60 
0X08 1 是 否 为 常 驻 标志 ,此 处 为 00 表示 常 驻 
0X09 1 属性 名 的 名 称 长 度 , 此 处 为 00 表示 没有 属性 名 wi 
0XOA 2 属性 名 的 名 称 偏 移 ,此 值 无 意义 m 
0X0C 2 REER ME MAE 性 
0XOE Š 属性 ID 标识 类 
0X10 4 属性 体 ( 即 属性 内 容 ) 的 长 度 , 一 般 为 0X48 
OX14 Ë 属性 体 开 始 偏 移 ,一 般 为 0X18 
0X16 1 索引 标志 
0X17 1 填充 至 8 的 倍数 
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续 表 
字 节 偏 移 | 字 节 数 & x 备注 
0X18 8 文件 (或 目录 ) 建 立 的 日 期 和 时 间 
0X20 8 文件 (或 目录 ) 修 改 的 日 期 和 时 间 
0X28 8 记录 修改 的 日 期 和 时 间 
0X30 8 文件 (目录 ) 访 问 的 日 期 和 时 间 
0X38 4 传统 文件 属性 , 见 表 6. 17 所 列 
0X3D 4 最 大 版 本 数 ,为 0 表示 没有 版 本 10H 
OX42 4 分 类 ID( 一 个 双向 的 索引 ) 属 
PER à 所 有 者 ID; 表示 文件 的 所 有 者 ,是 访问 文件 配额 $ Quota 中 $ SQ 索引 的 关 性 
键 字 , 如 果 是 0, 则 表示 没有 设置 配额 体 
0X48 4 安全 ID; 文件 $ Secure 中 $ SI RIIA $ SDS 数据 流 的 关键 字 
ai Š 配额 管理 : 配额 占用 情况 , 它 是 文件 所 有 流 所 占用 的 总 字 节 数 ,0 表示 未 使 
用 磁盘 配额 
Pe 更 新 序列 号 (USN): 文件 最 后 的 更 新 序列 号 , 它 是 进行 元 数据 文件 
$ UsnJrnl 直接 的 索引 ,如 果 是 0, 则 表示 没有 USN HE 
传统 文件 属性 含义 见 表 6. 17 所 列 。 
表 6.17 传统 文件 属性 含义 
值 值 
& x & x 
十 六 进 制 存储 形式 十 六 进 制 存储 形式 
00000001 01 00 00 00 只 读 00000200 00 02 00 00 f Bü xC tF 
00000002 02 00 00 00 隐藏 00000400 00 04 00 00 重 解析 点 
00000004 04 00 00 00 系统 00000800 00 08 00 00 压缩 
00000020 20 00 00 00 存档 00001000 00 10 00 00 脱 机 
00000040 40 00 00 00 设备 00002000 00 20 00 00 未 编 入 索引 
00000080 80 00 00 00 常规 00004000 00 40 00 00 加 密 
00000100 00 01 00 00 临时 


ik, 日 期 和 时 间 表 示 是 从 1601 年 1 月 1 日 开始 ,以 100 WEOE: 1 E= 10 ° b) A 
隔 的 值 , 即 1601 年 1 月 1 日 0 时 0 分 1 秒 以 10000000 表 示 。 
例 6.11 15406 号 记录 的 10H 属性 如 图 6. 20 所 示 ,其 说 明 见 表 6. 18 所 列 。 


Offset 01234567 89ABCDEF 
07208838 10 00 00 00 {60 00 00 00 


07208840 Do pq po oo po oo po oo) ks 00 oo oo) fis oo] oo 00 ... 
07208850 [5 C9 9D OE E4 61 DO O!) [5 4F 9F OE E4 61 DOOI . 2. 6288286? 
07208860 [i5 4F 9F OE E4 61 DO O!) [5 4F 9F OE E4 61 DOOI 2862862862? 
07208870 [po 00 00 oo) po oo oo oo) po oo oo oo) po oo oo od .. 


07208880 0 00 00 oq bs o1 00 oo) po oo 00 00 00 00 0009 ................ 


07208890 [po 00 00 00 00 00 00 00 
图 6.20 15406 号 记录 10H 属性 


Q nny 


表 6.18 15406 号 记录 10H 属性 (标准 属性 ) 结 构 


字 节 | 字 节 值 让 pe 
偏 移 | 数 | 十 进 制 | 十 六 进 制 存储 形式 
0X00| 4 16 10 10 00 00 00 | 10H 属性 
OX04| 4 96 60 60 00 00 00 | 属性 长 度 为 0X60 字 节 , 即 从 偏 移 地 址 0X38 至 0X97 
0X08| 1 0 0 00 10H 属性 为 常 驻 
0X09| 1 0 0 00 10H 属性 名 长 度 为 00, 即 没有 属性 名 wi 
OX0A| 2 0 0 00 00 属性 名 的 名 称 偏 移 属 
0OXOC| 2 0 0 00 00 表示 不 是 压缩 ,加 密 或 稀 政 性 
0OXOE| 2 0 0 00 00 属性 ID 标识 头 
OX10| 4 72 48 48 00 00 00 | 属性 内 容 ( 属 性 体 ) 的 长 度 为 72 字 节 
OX14| 2 24 18 18 00 属性 内 容 ( 属 性 体 ) 的 偏 移 为 0X18 
0X16| 1 0 0 00 索引 标志 
0X17| 1 0 0 00 填充 
05 C9 9D 0E 
0X18| 8 Ei eiD oi 文件 夹 建立 的 日 期 时 间 为 2015-03-19 01:28:51 
A5 4F 9F 0E 
0X20| 8 Ei ei Dó 文件 夹 修改 的 日 期 时 间 为 2015-03-19 01:28:51 
A5 4F 9F OE |. 
0X28| 8 Ee 记录 改变 的 日 期 时 间 为 2015-03-19 01:28:51 
aao ë A5 4F 9F 0E | 文件 夹 最 后 存 取 的 日 期 时 间 为 2015-03-19 01: 
E4 61 DO 01 | 28:51 
0X38| 4 0 00 00 00 00 00 | 资源 管理 器 中 看 到 的 属性 ,不 是 隐藏 也 不 是 只 读 
OX3C| 4 0 0 00 00 00 00 | 最 大 版 本 数 ,为 0 表示 版 本 是 没有 的 10H 
OX40| 4 0 0 00 00 00 00 | 版 本 数 ,如 果 最 大 版 本 数 为 0, 则 此 处 也 为 0 属 
OX44| 4 0 0 00 00 00 00 | 分 类 ID( 一 个 双向 的 索引 ) 性 
所 有 者 ID: 表示 文件 的 所 有 者 ,是 访问 文件 配额 | 体 
OX48| 4 0 0 00 00 00 00 | $Quota 中 $O 和 $Q 索引 的 关键 字 , 如 果 是 0， 
则 表示 没有 设置 配额 
iac- a Be we | ive db 安全 ID: 文件 $ Secure H $ SI 索引 和 $SDS 数 
据 流 的 关键 字 
al "3 00 00 00 00 | 配额 管理 : 配额 占用 情况 , 它 是 文件 所 有 流 所 占用 
00 00 00 00 | 的 总 字 节 数 ,为 0 表示 未 使 用 磁盘 配额 
本 更 新 序列 号 (USN) : 文件 最 后 的 更 新 序列 号 , 它 
OX58| 8 0 0 0000066 是 进行 元 数据 文件 $ UsnJrnl 直接 的 索引 ,如 果 
是 0, 则 表示 没有 USN 日 志 


6.3.2 30H 属性 


30H 属性 ( 即 文件 名 属性 ?属于 常 驻 无 属性 名 的 属性 ,用 于 描述 文件 名 ,一般 紧 跟 在 10H 
属性 之 后 ,其 大 小 从 68 字 节 到 578 字 节 不 等 。 如 果 一 个 文件 的 主 文件 名 长 度 超过 8 个 字符 或 
者 扩展 名 长 度 超过 3 个 字符 时 ,在 该 记录 中 将 会 有 两 个 30H 属性 ,一 个 描述 的 是 短文 件 名 ,而 
另 一 个 描述 的 则 是 长 文件 名 ( 注 : 该 规则 也 适用 于 文件 夹 名 ) 。 

30H 属性 由 固定 长 度 的 属性 头 和 可 变 长 度 的 属性 体 两 部 分 组 成 ,30H 属性 头 的 长 度 为 24 
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字 节 ,而 属性 体 的 长 度 则 与 文件 名 的 长 度 有 关 ,30H 属性 结构 见 表 6.19 所 列 。 
表 6.19 30H 属性 (文件 名 属性 ) 结 构 


字 节 偏 移 | 字 节 数 & x 备注 
0X00 4 30H 属性 
0X04 4 属性 长 度 
0X08 1 是 否 为 常 驻 标志 (00 表示 常 驻 ,01 表示 非常 驻 ) ,此 处 为 00 
0X09 1 属性 名 的 名 称 长 度 ,00 表示 没有 属性 名 ,此 处 为 00 
0X0A | 2 | 属性 名 的 名 称 偏 移 
imë i 标志 (压缩 .加密 、 稀 朴 ): 0001H 表示 该 属性 是 被 压缩 ,4000H 表示 该 属性 属 
是 被 加 密 ,8000H 表示 该 属性 是 稀 朴 性 
OXOE š 属性 ID 标识 3: 
0X10 4 属性 体 ( 即 属性 内 容 ) 的 长 度 
OX14 z 属性 体 开 始 偏 移 
0X16 1 索引 标志 
0X17 1 填充 
父 目录 的 文件 参考 号 , 即 父 目录 的 基本 文件 记录 号 ,分 为 两 部 分 ,前 6 字 节 
0X18 8 即 48 位 为 父 目录 的 文件 记录 号 ,后 2 字 节 即 16 位 为 序列 号 , 即 父 目 录 使 用 
或 删除 的 次 数 
0X20 8 文件 (或 目录 ) 建 立 的 日 期 和 时 间 
0X28 8 文件 (或 目录 ) 修 改 的 日 期 和 时 间 
0X30 8 | 记录 修改 的 日 期 和 时 间 30H 
0X38 8 文件 (或 目录 ) 访 问 的 日 期 和 时 间 属 
0X40 8 文件 的 分 配 大 小 (单位 : 字 节 ), 注 : 该 值 不 一 定 正 确 性 
0X48 8 文件 的 实际 大 小 (单位 : 字 节 ), 注 : 该 值 不 一 定 正 确 体 
0X50 4 WE MERER KRE, ILK 6. 20 所 列 
0X54 4 EAs( 扩 展 属性 ) 和 Reparse( 重 新 解析 ) 使 用 
0X58 1 文件 名 的 长 度 ( 即 字符 数 ) ,假设 为 工 ,L 为 正 整数 
0X59 1 文件 名 命名 空间 
0X5A 2L | 文件 名 的 Unicode 码 


文件 是 以 簇 为 单位 来 分 配 空间 的 ,实际 的 文件 大 小 是 指 未 命名 的 数据 流 大 小 。 标 志 占 用 
4 字 节 ,其 含义 见 表 6. 20 所 列 。 


表 6.20 标志 含义 
值 值 
& x & x 
十 六 进 制 | 存储 形式 十 六 进 制 | 存储 形式 
00000001 | 01 00 00 00 只 读 00000400 | 00 04 00 00 | 重 解析 点 
00000002 | 02 00 00 00 隐藏 00000800 | 00 08 00 00 | 压缩 
00000004 | 04 00 00 00 系统 00001000 | 00 10 00 00 | 脱 机 
00000020 | 20 00 00 00 存档 00002000 | 00 20 00 00 | 未 编 入 索引 
00000040 | 40 00 00 00 设备 00004000 | 00 40 00 00 | 加 密 
00000080 | 80 00 00 00 常规 10000000 | 00 00 00 10 he 
中 复制 相应 的 位 》 
视图 索引 (从 $MFT 文件 
00000100 | 00 01 00 00 临时 20000000 | 00 00 00 20 记录 中 复制 相应 的 位 ) 
00000200 | 00 02 00 00 f Bü X: PF 


@ 大 话 数据 恢复 


命名 空间 是 一 个 有 关 文 件 名 可 以 使 用 的 字符 标志 集 。NTFS 为 了 支持 旧 的 程序 ,为 每 一 
个 与 DOS 操作 系统 不 兼容 的 文件 名 分 配 了 一 个 短文 件 名 ,常见 的 文件 名 命名 空间 见 表 6. 21 


所 列 。 
表 6.21 常见 的 命名 空间 表 

标志 意 x 描 述 

00 POSI 这 是 最 大 的 文件 名 命名 空间 ,大 小 写 敏感 ,并 允许 使 用 除 NULL(0) 和 左 斜 框 (/) 
以 外 的 所 有 Unicode 字符 作为 文件 名 ,文件 名 最 大 长 度 为 255 个 字符 

01 Win32 Win32 是 POSIX 命名 空间 的 一 个 子 集 ,不 区 分 大 小 写 ,可 以 使 用 除 ”* / : < > 
? | \ 外 的 所 有 Unicode 字符 作为 文件 名 。 另 外 文件 名 不 能 以 句点 和 空格 结束 

02 DOS DOS 的 命名 规则 是 Win32 命名 空间 的 一 个 子 集 ,其 格式 为 : 主 文件 名 . [扩展 名 ]， 


其 中 : 主 文件 名 为 1 一 8 个 字符 ,扩展 名 为 0 一 3 个 字符 , 主 文件 名 和 扩展 名 之 间 
使 用 *. ”分 隔 。 所 使 用 字符 的 ASCII 码 大 于 0X20, 并 且 不 能 使 用 * 十 ,，/:; 
. < = > ? \ 等 字符 。 但 在 文件 系统 中 只 存储 主 文件 名 和 扩展 名 ,如 果 主 文件 
名 不 足 8 个 字符 ,扩展 名 不 足 3 个 字符 时 ,不 足 部 分 填充 空格 

03 ”Win32&DOS ”该 命名 空间 要 求 文件 名 对 Win32 和 DOS 命名 空间 都 有 效 ,这 样 文件 名 就 可 以 在 
文件 记录 中 只 保存 一 文件 名 


例 6.12 15406 号 记录 只 有 一 个 30H 属性 ,如 图 6. 21 所 示 ( 注 : 图 6. 21 中 阴影 部 分 为 属 
性 体 ) ,说 明 见 表 6. 22 所 列 。 


Offset 01234567 89ABCDEF 
07208898 30 00 00 00 68 00 00 00 (PN 
0720B8A0 00 00 00 00 00 00 02 00 4A 00 00 00 18 00 0100 ........ ss 


0720B8B0 05 00 00 00 00 00 05 00 05 C9 9D OE E4 61 DO 01 
0720B8C0 05 C9 9D OE E4 61 DO 01 05 C9 9D OE E4 61 DO 01 .?. 锯 ?. 
0720B8D0 05 C9 9D OE E4 61 DO 01 00 00 00 00 00 00 00 00 .?. $E?. 
0720B8E0 00 00 00 00 00 00 00 00 00 00 00 10 00 00 00 00 _................ 
0720B8F0 04 03 7F 95 87 65 F6 4E 0D 54 00 00 00 00 00 00 .. 长 文件 名 ...... 


图 6.21 15406 号 记录 的 30H 属性 
表 6.22 15406 号 记录 30H 属性 说 明 


字 节 | 字 节 ti ? 

偏 移 | 数 | 十进制 | 十 六 进 制 | 存储 形式 
0X00 4 48 30 30 00 00 00 | 30H 属性 

0X04 4 104 68 68 00 00 00 | 属性 长 度 为 0X68 字 节 

0X08 1 0 0 00 30H 属性 为 常 驻 

0X09 1 0 0 00 无 属性 名 30H 
0OXOA | 2 0 00 00 无 属性 名 ,所 以 属性 名 名 称 偏 移 为 00 m 
oxoc| 2 0 oo |o 标志 为 00, 没 有 压缩 加密、 稀疏 等 性 
0XOE 2 2 Š 02 00 属性 ID 标识 为 2 类 
0X10 4 74 4A 4A 00 00 00 | 属性 体 长 度 为 0X4A 字 节 

0X14 $ 24 18 18 00 属性 体 开始 偏 移 为 0X018 

0X16 1 1 ï 01 索引 标志 为 1 

0X17 1 0 00 00 填充 为 00 
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续 表 
字 节 | 字 节 值 
& x 备注 

偏 移 | 数 | 十进制 | 十 六 进 制 | 存储 形式 
Bi š 5 05 00 00 00 | 父 目 录 的 基本 文件 记录 号 为 05, 即 根 目 录 的 记录 

00 00 号 。 该 目录 为 根 目录 下 的 一 个 子 目 录 
OXIE| 2 5 Š 05 00 序列 号 为 05, 即 根 目录 使 用 或 删除 的 次 数 为 5 次 

05 C9 9D 0E 
0X20 8 BEGI DOOI 文件 夹 建立 的 日 期 和 时 间 :2015-03-19 01:28:51 

05 C9 9D 0E 
0X28 | 8 Biei Dool 文件 夹 修改 的 日 期 和 时 间 :2015-03-19 01:28:51 

05 C9 9D 0E |, 
0X30 8 oe 记录 修改 的 日 期 和 时 间 :2015-03-19 01:28:51 

05 C9 9D 0E a 30H 
0X38 8 ELG30 61 文件 夹 访问 的 日 期 和 时 间 :2015-03-19 01:28:51 属 
o| s | o o [00000000 | 文件 夹 分 配 空间 大 小 (单位 : 字 节 ) 上 

00 00 00 00 体 

00 00 00 00 
0X48 8 0 0 D00000 文件 夹 实际 大 小 (单位 : 字 节 ) 
0X50 4 10000000| 00 00 00 10 | 标志 ,如 目录 压缩、 隐藏 等 ,此 处 为 目录 
0X54 4 0 00 00 00 00 00 | EAs( 扩 展 属性 ) 和 Reparse( 重 新 解析 ) 使 用 
0X58 1 4 4 04 目录 名 长 度 为 4 个 Unicode 字符 
0X59 1 3 3 03 文件 名 命名 空间 为 3, 即 Win32&DOS 命名 规则 
OX5A| 8 目录 名 为 “长 文件 名 ” 
ox62 | 6 00 00 | 直 充 到 8 的 代数 ,无 用 数据 


6.3.3 80H 属性 


80H 属性 即 $ DATA 属性 ,主要 用 于 文件 记录 。 该 属性 比较 复杂 ,可 能 会 出 现 5 种 情况 ， 
即 只 有 属性 头 而 无 属性 体 . 常 驻 无 属性 名 ,非常 驻 无 属性 名 ,非常 驻 有 属性 名 和 常 驻 有 属性 名 。 


1. 只 有 属性 头 而 无 属性 体 


一 般 情况 下 ,只 有 属性 头 而 无 属性 体 的 80H 属性 ,是 针对 文本 文件 的 , 且 文 本 文件 的 内 容 
为 空 , 即 文件 的 大 小 为 0 FH. 

例 6.13 HH 盘 15424 号 记录 ,文件 名 为 a01. txt( 注 : a01. txt 文件 存储 在 H 盘 的 A06 X 
件 下 ) ,在 资源 管理 器 中 查看 a01. txt 文件 属性 时 ,文件 的 大 小 为 0 字 节 。 其 80H 属性 如 图 6. 22 
所 示 , 由 于 结构 简单 不 再 作 说 明 。 


Offset 01234567 89ABCDERF 
07210100 80 00 00 00 18 00 00 00 00 00 18 00 00 00 01 00 ~ 
07210110 00 00 00 00 18 00 00 00 FF FF FF FF 82 79 47 01 


图 6.22 只 有 属性 头 而 无 属性 体 的 80H 属性 


全 大 话 数据 恢复 


2. 常 驻 无 属性 名 


80H 常 驻 无 属性 名 分 为 属性 头 和 属性 体 ( 即 文件 内 容 ) 两 部 分 。 属 性 体 的 长 度 为 8 的 倍 
数 , 当 属 性 体 结束 时 没有 达到 8 的 倍数 时 ,多 余 的 字 节 用 00 来 填充 。80H 常 驻 无 属性 名 结构 
见 表 6.23 所 列 。 


表 6.23 80H 常 驻 无 属性 名 结构 


字 节 偏 移 字 节 数 合 “ 文 字 节 偏 移 字 节 数 & x 
0X00 4 ”属性 类 型 (80H) OXOE 2 属性 ID 标识 
0X04 4 ”属性 长 度 ( 即 属性 头 十 属性 体 ) 0X10 4 BERKEL) 
0X08 1 ”是 否 为 常 驻 标志 ,此 处 为 00, 表 示 | 0X14 2 属性 内 容 开 始 偏 移 

常 驻 
0X09 1 属性 名 的 名 称 长 度 ,00 表示 没有 | 0X16 1 索引 标志 
属性 名 
0X0A 2 ”属性 名 的 名 称 偏 移 , 此 值 无 意义 0X17 1 填充 
0X0C 2 WEER mE MAE) 0X18 L 属性 体 ( 文 件 内 容 ) 


例 6.14 存储 在 H # A06 文件 夹 中 的 a00. txt 文件 ,记录 号 为 15423 ,在 资源 管理 器 中 
查看 a00. txt 文件 属性 时 ,文件 大 小 为 94 字 节 ,占用 空间 为 4. 00KB (4096 字 节 ) ,如 图 6. 23 
所 示 。 使 用 记事 本 打开 a00. txt 文件 后 ,文件 内 容 如 图 6. 24 所 示 。15423 号 记录 的 80H 属性 
如 图 6. 25 所 示 ,其 说 明 见 表 6.24 所 列 。 


J 人 SSW Men 


图 6.25 15423 号 记录 的 80H 属性 值 


AN Ra asema NNE 

= 400. txt 

NPRM: KERM Ctt) 

s cus ZAD SAD WTO PEV MMH 

Asni Saa ase Et 0123456789 

ORENA: 20ts 年 ] 月 9 日 ，s.26 51 ABCDEFGHI JKLMNOPQRSTUVWXYZ 

oes abcdefghi jklmnopqrstuvwzyz 

属性 Puna, Peev [maq 云南 昆明 1234567890 云 南大 学 

[mm | ee | smo š REU 

图 6.23 a00. txt 属性 6.24 a00. txt 文件 内 容 
Offset 01234567 89ABCDEF 
0720FD20 80 00 00 00 78 00 00 00 Sd 
0720FD30 00 00 18 00 00 00 05 00 18 00 00 00 ........ SEES 
0720FD40 30 31 32 33 34 35 36 37 38 39 OD OA 41 42 43 44 0123456789. . ABCD 
0720FD50 45 46 47 48 49 4A 4B 4C 4D 4E 4F 50 51 52 53 54 EFGHIJKLMNOPQRST 
0720FD60 55 56 57 5 用 记事 本 打开 a00.txt 63 64 65 666768 UVWXYZ.. abcdefgh 
0720FD70 69 6A 6B 6C| 后 所 看 到 的 文件 内 容 一 和 一 ijklmnopqrstuvwz 
0720FD80 79 7A OD OA D4 C6 C4 CF CO A5 C3 F7 31 32 33 34 yz.. 云 南 昆明 1234 
0720FD90 35 36 37 38 39 30 D4 C6 C4 CF B4 F3 Di A7 00 00 567890 云 南天 学 .. 
0720FDAO FF FF FF FF 82 79 47 11 00 00 00 00 00 00 00 00 停 G......... 
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R 6.24 15423 号 记录 80H 常 驻 属性 结构 


字 节 | 字 节 t Š 
偏 移 | 数 | 十进制 | 十 六 进 制 | 存储 形式 r. bz 
OX000| 4 128 80 80 00 00 00 | 80H 属性 
OX004| 4 120 78 |78000000 aa S Ska E OX 2E 
FD9F 
0X008| 1 0 0 00 是 否 为 常 驻 标志 ,此 处 为 00, 表 示 常 驻 
OX009| 1 0 0 00 属性 名 称 长 度 ,00 表示 没有 属性 名 
OX00A| 2 24 18 18 00 无 属性 名 ,此 值 无 意义 属 
OXo0C| 2 0 00 00 00 标志 为 00 性 
0X00E| 2 5 05 05 00 属性 ID 标识 为 05 
OX010| 4 94 5E 5E 00 00 00 | 属性 体 长 度 为 94 字 节 A 
aa a H i PoE 属性 体 开 始 偏 移 为 0X18 ,属性 内 容 ( 即 文件 内 容 ) 
开始 地 址 为 0X0720FD28 十 0X018 王 0X0720FD40 
OX016| 1 0 0 00 索引 标志 为 0 
OX017| 1 0 0 00 无 意义 ,填充 到 8 字 节 
文件 内 容 : 0123456789JABCDEFGHIJKLMNOP | 80H 
0X018 | 94 QRSTUVWXYZ .Jabcdefghijklmnopqrstuvwzyz J jy 
云南 昆明 1234567890 云南 大 学 体 
说 明 : 
(1) 地 址 0X0720FD9E—FD9F 的 内 容 为 “00 00”, 为 多 余 字 节 , 因 为 文件 内 容 长 度 为 94 
字 节 。 


(2) 地 址 0X0720FDA0—FDA7 的 内 容 为 "FF FF FF FF 82 79 47 11”( 存 储 形 式 ) ,表示 记 
录 已 经 结束 ,以 后 的 数据 为 无 用 数据 。 

(3) 从 图 6. 23 可 知 ,a00. txt 文件 大 小 为 94 字 节 ,占用 空间 为 4. 00KB (4096 字 节 ) ,但 实 
BRE a00. txt 文件 内 容 并 未 占用 H 盘 的 空间 ,因为 该 文件 记录 的 80H 属性 是 常 驻 属 性 ,将 该 
文件 删除 后 ,H 盘 的 已 用 空间 和 自由 空间 不 会 发 生变 化 。 


3. 非常 驻 无 属性 名 


80H 非常 驻 属 性 结构 比较 复杂 ,常用 数据 流 有 7 种 情况 , 即 未 命名 数据 流 、 文 件 摘要 信 
息 、$ mountMgrDatabase、$ Bad, $ SDS, $J, $Max。 除 未 命名 数据 流 构成 非常 驻 无 属性 名 
外 ,其 他 6 种 情况 构成 了 有 属性 名 的 80H 属性 , 即 非常 驻 有 属性 名 属性 。80H 非常 驻 无 属性 
名 属性 头 结构 见 表 6. 25 所 列 ,而 属性 体 的 位 置 则 由 属性 头 中 的 数据 运行 列表 确定 。 

在 文件 记录 80H 非常 驻 属 性 中 ,如 果 只 有 一 个 数据 运行 列表 ,说 明 该 文件 内 容 ( 即 属性 
体 ) 在 NTFS 卷 上 的 存储 是 连续 的 ,该 80H 非常 驻 属性 数据 运行 列表 可 以 表示 为 : 

MINI Xl, Xl; ee Xim Yl, Yl, we Yla ËB Z1 Z2 …… 

其 中 : MINI 是 一 个 字 节 ,MI1 是 该 字 节 的 高 4 位 ( 即 bit; 一 bit) ,表示 文件 内 容 开始 簇 号 
占 M1 字 节 ; 而 N1 是 该 字 节 的 低 4 位 ( 即 bit. —bit. ) ,表示 文件 内 容 簇 数 占 N1 字 节 ;“00 Z1 
De ”表示 数据 运行 列表 所 占 字 节 数 不 足 8 的 倍数 而 填充 的 无 用 数据 。 注 : 在 NTFS 卷 中 
数据 的 存储 形式 是 采用 小 头 位 序 。 


@ 大 话 数据 恢复 


表 6.25 80H 非常 驻 无 属性 名 属性 头 结构 


字 节 偏 移 | 字 节 数 含义 备注 
0X00 4 80H 属性 
0X04 4 属性 头 长 度 (单位 : FW) 
0X08 1 常 驻 与 非常 驻 标志 ,此 处 为 01, 表 示 非 常 驻 
0X09 1 文件 名 长 度 (00 表示 没有 属性 名 ) ,此 处 为 00, 表 示 未 命名 , 即 无 属性 名 
OXOA 2 名 称 偏 移 值 (没有 属性 名 ) ,此 处 为 00 
Pe z 压缩 .加 密 、 稀 朴 标 志 : 0001H 表示 该 属性 是 被 压缩 的 ; 4000H 表示 该 属性 
是 被 加 密 的 ; 8000H 表示 该 属性 是 稀疏 的 we 
OXOE z 属性 ID 标识 
0X010 8 开始 VCN, 此 处 为 00 i 
0X018 8 结束 VCN, 等 于 所 占 簇 数 之 和 减 1 Š 
0X020 š 数据 运行 列表 偏 移 地 址 
0X022 2 压缩 单位 大 小 (2* EMRA 0 表示 未 压缩 ) 
0X024 4 填充 
0X028 8 系统 分 配给 文件 的 空间 大 小 (单位 : 字 节 ) 
0X030 8 流 的 实际 大 小 , 即 文件 的 实际 大 小 (单位 : 字 节 ) 
0X038 8 流 已 初始 化 大 小 , 即 文件 压缩 后 的 大 小 (单位 : 字 节 ) 
0X040 数据 运行 列表 
文件 内 容 开 始 簇 号 、 所 占 簇 数 和 结束 簇 号 如 式 (6. 17) 一 式 (6. 19); 
文件 内 容 开 始 簇 号 = Yluvos YLYL GE; 该 值 是 一 个 正 整数 或 者 零 ) (6.17) 
文件 内 容 所 占 簇 数 = Xl1w……: XLXL QÈ: 该 值 是 一 个 正 整 数 ) (6. 18) 
文件 内 容 结束 簇 号 = 文件 内 容 开始 簇 号 十 文件 内 容 所 占 复数 一 1 
= Ylm “ee Y1;Y1, + Xm X1,X1 —1 (6,19) 


例 6.15 存储 在 H #kabcd1 文件 夹 中 的 1.jpg 文件 ,文件 记录 号 为 11891,80H 属性 头 如 
图 6. 26 所 示 ,说 明 见 表 6.26 所 列 。 


Offset 01234567 89ABCDEF 
06E9CD00 80 00 00 00 48 00 00 00 01 00 00 00 00 00 01 00 
06E9CD10 00 00 00 00 00 00 00 00 5B 00 00 00 00 00 00 00 
06E9CD20 40 00 00 00 00 00 00 00 00 CO 05 00 00 00 00 00 
06E9CD30 CA B4 05 00 00 00 00 00 C4 B4 05 00 00 00 00 00 
06E9CD40 21 5C DB 10 00 00 00 00 FF FF FF FF 82 79 47 11 
图 6.26 11891 号 记录 80H 属性 头 
表 6.26 11891 号 记录 80H 属性 头 说 明 
字 节 值 、 
字 节 数 & x 
偏 移 十 进 制 | 十 六 进 制 | 存储 形式 
0X00 4 128 80 80 00 00 00 | 80H 属性 
0X04 4 72 48 48 00 00 00 | 属性 头 长 度 为 0X48 FH 
0X08 1 1 1 01 常 驻 与 非常 驻 标志 ,此 处 为 01, 表 示 非 常 驻 
0X09 1 0 00 00 此 处 为 00, 表 示 未 命名 
OXOA 2 0 00 00 00 名 称 偏 移 值 ( 没 有 属性 名 ) ,此 处 为 00 
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续 表 
值 
TE gsm a x 
偏 移 十 进 制 | 十 六 进 制 | 存储 形式 
压缩 ,加 密 、 稀 朴 标 志 : 0001H 表示 该 属性 是 被 
0X0C 2 0 0000 00 00 压缩 的 ， 4000H 表示 该 属性 是 被 加 密 的 ; 
8000 H 表示 该 属性 是 稀 疏 的 
OXOE š 1 0001 01 00 属性 ID 标识 
00 00 00 00 
0X010 8 0 0 OO 开始 VCN, 此 处 为 00 
5B 00 00 00 
0X018 8 91 5B 00709.0096 结束 VCN, FA h i&3k2 TIR 1, 即 0X5B 
数据 运行 列表 偏 移 地 址 为 40H, 即 数据 运行 列 
OEREO ea h ii 4000 | 表 的 开始 地 址 为 06E9CD00 十 40 一 06E9CD40 
OX022 2 0000 00 00 压缩 单位 大 小 (2* 禾 , 如 果 为 0 表示 未 压缩 ) 
0X024 4 00 00 00 0000 | 填充 
00 C0 05 00 | 为 流 分 配 的 单元 大 小 , 按 分 配 簇 的 实际 大 小 来 
03028 j STORE 5C000 | oo oo 00 00 计算 。 分 配 的 磁盘 空间 大 小 为 0X05C000 字 节 
C4 B4 05 00 | 实际 的 流 大 小 , 即 文件 内 容 的 实际 大 小 为 
379990 PRIES 00 00 00 00 | 0X05B4C4 字 节 
C4 B4 05 00 
0X038 8 373956 5B4C4 0000:0000 流 已 初始 化 大 小 为 0X05B4C4 字 节 
21 5C DB 10 e. 
0X040 8 GG 数据 运行 列表 
说 明 : 


(1) 从 表 6. 26 可 知 ,11891 号 记录 80H 属性 头 只 有 一 个 数据 运行 列表 ,数据 运行 列表 为 
“21 5C DB 10 00 00 00 00”; 数值 *21" 表 示 1.jpg 文件 内 容 开 始 簇 号 占 2 字 节 ,开始 复 号 的 存储 
形式 为 "DB 10”; 复数 占 1 字 节 ,复数 的 存储 形式 为 "5C”; 而 “00 00 00 00” 为 无 用 数据 。 
(2) 由 式 (6.17) 和 式 (6.18) 可 知 : 
1.jpg 文件 内 容 开始 簇 号 二 0X10DB( 即 4315) 
1. jpg 文件 内 容 所 占 簇 数 二 0X5C〈 即 92) 个 入 
(3) 由 式 (6.19) 可 知 : 
1.jpg 文件 内 容 结束 簇 号 = 二 开始 簇 号 十 所 占 簇 数 一 1 
=0X10DB+0X5C—1=0X1136 (HE 4406) 
所 以 ,1.jpg 文件 内 容 占 用 簇 号 范围 为 4315 一 4406( 即 0X10DB~0X1136) ,共计 92 MÍR. 
1.jpg 文件 内 容 LCN 与 VCN 的 对 应 关系 见 表 6. 27 所 列 。 


表 6.27 1.jpg 文 件 的 LCN 与 VCN 对 应 关系 


R5 
Dn Faks | 下 一 能 号 | 下 一 簇 号 下 一 簇 号 结束 簇 号 
UON 十 六 进 制 10DB 10DC 10DD | + 1135 1136 
十 进 制 4315 4316 417 | eee 4405 4406 
十 六 进 制 0 1 — 5A 5B 
YEN 十 进 制 0 1 2 | 90 91 


注 : 每 个 文件 内 容 的 开始 VCN 均 为 0。 


& 大 话 数据 恢复 


在 文件 记录 80H 非常 驻 属 性 中 ,如 果 有 两 个 以 上 的 数据 运行 列表 ,说 明 该 文件 内 容 在 
NTFS 卷 上 的 存储 是 不 连续 的 ,那么 该 80H 非常 驻 属性 的 数据 运行 列表 可 以 表示 为 : 
MAN X2, X2 Xae Y2, Y2a Yow 


MINI Xi Xl Xia Yl Yl Yla 
M3N3 X3, X320 X3Ns Y3: Y3:… Y3m; 
MPNP XP, XP,:… XPNe YP, YP:… YPw 


对 数据 运行 列表 说 明 如 下 : 


M4N4 X4, X42 XA4m 了 4 Y42… YAm 


00 


Z1 Z2 


(1) 该 文件 内 容 被 划分 为 POE: P 为 大 于 或 者 等 于 2 的 正 整 数 ) 段 分 散 地 存储 在 NTFS 


卷 中 。 


(2) MiNi 是 一 个 字 节 ,Mi 是 该 字 节 的 高 4 位 ( 即 bit, —bit, ) ,Ni 是 该 字 节 的 低 4 位 ( 即 


bits ~bito) ,其 中 : i==1,2,3,…,P。 


(3) M1 表示 第 1 段 文件 内 容 开始 簇 号 占 M1 字 节 。 

(4) Mi 表示 第 i 段 文件 内 容 的 相对 簇 号 占 Mi 字 节 ,其 中 : i 二 2,3,…,P。 

(5) Ni 表示 第 i 段 文件 内 容 的 簇 数 占 Ni 字 节 ,其 中 : ;一 1,2,3,…,P。 

(6) Ylm…Y1s Yl 是 一 个 正 整 数 或 者 0, 表示 第 1 段 文 件 内 容 开 始 簇 号 。 

(7) Yiw Yi Yi 是 一 个 有 符号 的 整数 , 即 是 一 个 正 整数 或 者 是 一 个 负 整数 ( 注 : 负 整 数 
用 补 码 表示 ) ,表示 第 字段 文件 内 容 相对 于 第 (一 1) 段 的 开始 复 号 ,其 中 : i 二 2,3,4,…,P。 

(8) Xi Xi Xi 是 一 个 正 整数 ,表示 第 ; 段 文件 内 容 所 占 簇 数 ,其 中 : i=1,2,3,…,P。 

(9) “00 Z1 Z2…” 表 示 数 据 运行 列表 所 占 字 节 不 足 8 的 倍数 ,而 填充 的 无 用 数据 。 


数据 运行 列表 结构 含义 , 见 表 6. 28 所 列 。 


表 6.28 数据 运行 列表 结构 含义 


段 号 数据 运行 列表 各 段 开 始 艇 号 各 段 所 占 簇 数 
1 [MINI Xh Xl Xl Yl Yl Ylw |Ylm… Yl: Yh XlN X12 Xl 
2 |M2N2 X2 X22 X2w Y2, Y2a Y2wu |Ylm… Yle Yl +Y2w Y2: Y2 | X2Ne…X2X2， 
3 MNI x3, X3 X3\。 Y3, Y3: Y3w |a Ye Yh +Y2w r Y2 Y2 | ys...x3,X3, 

ASIS EE Os yau Y3: Y3, 
Ylha… Yl: Ylı Y2w*… Y2: Y2, + 
P |MPNP XP, XP,… XPw YP, YP;=: YPw | Yaw =° Y3, Y3 + + + YPur =: [XPxe XP: XP, 
YP, YP, 


说 明 : 作者 使 用 Excel 编写 了 针对 H 盘 , 通 过 数据 运行 列表 计算 文件 内 容 各 段 所 占 簇 数 
的 算法 ,读者 只 需 在 单元 格 中 输入 数据 运行 列表 , 即 可 得 到 文件 内 容 各 段 的 开始 簇 号 、 结 束 簇 
号 和 所 占 簇 数 ( 注 : H 盘 为 素材 文件 abcd6. vhd 所 附加 的 虚拟 盘 ) 。 
例 6.16 存储 在 H 盘 Wordl 文件 夹 中 的 a01. doc 文件 ,文件 记录 号 为 15461,80H 属性 

头 如 图 6. 27 所 示 ( 注 : 在 图 6. 27 中 , 画 线 部 分 为 数据 运行 列表 ) 。 
从 图 6. 27 可 知 ,15461 号 记录 80H 属性 头 中 的 数据 运行 列表 如 下 : 
21 01 AB 46 11 01 5A 11 02 BB 11 03 EE 21 02 D5 00 00 73 D6 OF 45 EC 89 


在 15461 号 记录 80H 属性 头 中 有 5 个 数据 运行 列表 ,这 5 个 数据 运行 列表 见 表 6. 29 所 列 。 
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Offset 01234567 8 9ABCDEF 
07219520 80 00 00 00 58 00 00 00 
07219530 01 00 00 00 00 00 03 00 00 00 00 00 00 00 00 00 
07219540 08 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 
07219550 bo 90 00 00 00 00 00 00 | 00 8E 00 00 00 00 00 00 
07219560 00 8E 00 00 00 00 00 00 21 01 AB 46 11 01 5A 11 
07219570 02 BB 11 03 EE 21 02 D5 00 00 73 D6 OF 45 EC 89 
07219580 FF FF FF FF 82 79 47 11 00 00 00 00 00 00 00 00 


6.27 15461 号 记录 的 80H 属性 


表 6.29 15461 号 记录 80H 属性 头 中 的 数据 运行 列表 含义 表 


a 各 段 开始 簇 号 各 段 所 占 敌 数 
段 号 数据 运行 列表 
十 六 进 制 十 进 制 | 十 六 进 制 | 十 进 制 

1 | 2101AB46 46AB 18091 1 š 
2 | 11015A 46AB 十 5A 一 4705 18181 1 1 
3 | 1102BB 46AB 十 5A 一 45 一 46C0 18112 2 2 
4 | 1103EE 46AB 十 5A 一 45 一 12 一 46AE 18094 3 3 
5 | 2102Ds oo 46AB 十 5A 一 45 一 12 十 00D5 一 4783 18307 2 2 


对 表 6. 29 各 段 数据 运行 列表 说 明 如 下 : 

(1) 第 1 个 数据 运行 列表 占 4 字 节 , 即 “21 01 AB 46”, 数 值 *21” 表 示 第 1 个 数据 运行 列表 
开始 簇 号 占 2 字 节 , 簇 数 占 1 字 节 ,第 1 个 数据 运行 列表 开始 簇 号 为 0X46AB( 即 18091) , 占 
0X01( 即 1) 个 簇 。 

(2) 第 2 个 数据 运行 列表 占 3 字 节 , 即 “11 01 5A”, 数 值 *11” 表 示 第 2 个 数据 运行 列表 相 
对 簇 号 占 1 字 节 ,复数 占 1 字 节 ,第 2 个 数据 运行 列表 的 相对 簇 号 为 0X5A( 即 90), 占 0X01 
DAIR. 

(3) 第 3 个 数据 运行 列表 占 3 字 节 , 即 "11 02 BB”, 数 值 *11" 表 示 第 3 个 数据 运行 列表 相 
对 簇 号 占 1 字 节 , 簇 数 占 1 字 节 ,第 3 个 数据 运行 列表 的 相对 簇 号 为 0XBB( 即 一 45H、 一 69)， 
占 0X02( 即 2) 个 簇 ( 注 : 0XBB 为 一 个 负 整 数 , 负 整数 用 补 码 表示 ) 。 
(4) 第 4 个 数据 运行 列表 占 3 字 节 , 即 *11 03 EE”, 数 值 *11” 表 示 第 4 个 数据 运行 列表 相 
对 簇 号 占 1 字 节 , 簇 数 占 1 字 节 ,第 4 个 数据 运行 列表 的 相对 簇 号 为 0XEE( 即 一 12H.、 一 18)， 
占 0X03( 即 3) 个 簇 ( 注 : 0XEE 为 一 个 负 整数 , 负 整数 用 补 码 表示 ) 。 

O 第 5 个 数据 运行 列表 占 4 字 节 , 即 “21 02 D5 00”, 数 值 *21” 表 示 第 5 个 数据 运行 列表 
相对 簇 号 占 2 Eh SA h 1 字 节 , 第 5 个 数据 运行 列表 的 相对 簇 号 为 0X00D5( 即 213) , 占 
0X02( 即 2) 个 簇 。 

(6) 数据 "00 73 D6 OF 45 EC 89” 为 不 足 8 的 倍数 ,而 填充 的 无 用 数据 。 

从 数据 运行 列表 可 知 ,a01. doc 文件 内 容 被 划分 为 5 段 分 散 地 存储 在 H 盘 中 ,占用 簇 号 分 
JÆ 18091,18181,18112~18113,18094~18096 和 18307 一 18308 ,共计 9 MÍR. 

a01. doc 文件 内 容 LCN 与 VCN 对 应 关系 见 表 6. 30 所 列 。 


& 大 话 数据 恢复 


表 6.30 a01. doc XHAR LCN 与 VCN 对 应 关系 表 


条 号 | 开始 F F T F F F F 结束 
LCN/VCN = ES ES RS ES ES RS ES | #= 
十 六 进 制 | 46AB | 4705 46C0 | 46C1 | 46AE | 46AF | 46B0 4783 | 4784 
LCN 

十 进 制 18091 | 18181 | 18112 | 18113 | 18094 | 18095 | 18096 | 18307 | 18308 

十 六 进 制 0 1 ° 3 4 Š 6 7 8 

ku 十 进 制 0 1 2 3 4 5 6 7 8 

E= 第 1 段 | 第 2 段 第 3 段 第 4 段 第 5 段 


对 于 非常 驻 属性 而 言 ,计算 NTFS 分 配给 文件 空间 如 式 (6. 20): 
系统 分 配给 文件 的 空间 = 文件 所 占 簇 数 之 和 X 每 个 复 的 扇 区 数 X 512 字 节 / 扇 区 
(6. 20) 

例 6.17 在 例 6.15 中 ,H 盘 每 个 簇 的 扇 区 数 为 8, 系统 分 配给 1. jpg 文件 的 空间 为 376 832 
字 节 ,在 80H 属性 中 的 存储 形式 为 “00 CO 05 00 00 00 00 00”, 从 数据 运行 列表 可 知 ,1. jpg 3X 
件 共 占 用 了 92 个 簇 。 
式 (6. 20) 可 知 : 

376 832 字 节 = 92 fk X 8 B X / fK X512 FË / M X 

作者 通过 实验 发 现 : 当 一 个 文件 记录 的 80H 属性 由 常 驻 属性 变 为 非常 驻 属 性 后 ,即使 文 
件 的 大 小 只 有 一 个 字 节 ,文件 记录 的 80H 属性 仍然 为 非常 驻 属 性 。 也 就 是 说 , 当 一 个 文件 记 
录 的 80H 属性 由 常 驻 属 性 变 为 非常 驻 属性 后 ,就 不 再 由 非常 驻 属性 变 回 到 常 驻 属性 ; 因此 ， 
小 文件 记录 的 80H 属性 也 有 可 能 是 非常 驻 属 性 。 


4. 非常 驻 有 属性 名 


80H 属性 的 属性 名 主要 有 文件 摘要 信息 、$ mountMgrDatabase、$ Bad, $ SDS. $J. 
$Max 等 。 

1) 文件 摘要 信息 

在 NTFS 卷 中 有 些 文件 是 有 文件 摘要 的 .这 些 摘 要 包括 描述 和 来 源 两 个 部 分 ,其 中 描述 
包括 标题 .主题 .类 型 ,关键 字 和 备注 等 信息 。 而 这 些 数据 被 储存 在 一 组 4 条 命名 数据 流 中 , 它 
们 分 别 是 : 


{4c8cc155 - 6c1e - 11d1 - 8e41 - 00c04fb9386d) 
^EDocument SummaryInformation 
AESebiesnrMkudrfcolaamtykdDa 
^ESummaryInformation 


其 中 : 数据 流 {4c8ccl155-6cle-11dl-8e41-00c04fb9386d} 为 空 , 数据 流 ^ Edocument 
SummaryInformation 包含 文件 摘要 的 “类 别 ”, 数 据 流 ^EsebiesnrMkudrfcolaamtykdDa 包含 文 
件 摘 要 的 “来 源 ”, 数 据 流 ^EsummaryInformation 包含 文件 摘要 的 “标题 “主题 “作者 ”关键 
字 ”“ 备 注 ”" 和 “修订 版 号 码 ”。 

2) $ mountMgrDatabase 

该 数据 流 只 存在 有 重 解 析 点 的 卷 上 。 

3) $ Bad 

坏 复 数据 流 ,该 数据 流 只 有 在 元 文件 $BadClus 的 80H 属性 中 才 有 , 它 是 一 个 记录 卷 中 
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坏 簇 情况 的 数据 流 , 如 果 在 NTFS 文件 系统 运行 过 程 中 发 现 新 的 坏 复 , 则 将 由 该 坏 簇 号 记录 
到 坏 簇 文件 中 , 即 元 文件 $ BadClus 中 。 
4) $ SDS 
安全 描述 流 ($ SDS) ,只 有 在 元 文件 $ Secure 中 才 有 , 它 包 含 了 卷 中 所 有 安全 描述 列表 。 
5) $J. $ Max 
这 两 个 数据 流 只 有 在 元 文件 $ Extend\ $ UsnJrnl PHA. 


5. 常 驻 有 属性 名 
在 80H 属性 中 , 常 驻 有 属性 名 的 情况 几乎 不 常见 ,这 里 不 再 介绍 。 


6.3.4 90H 属性 


90H 属性 即 $ INDEX_ROOT 属性 ,在 元 文件 $ MFT 的 文件 夹 记录 中 才 有 该 属性 , 它 总 
是 常 驻 有 属性 名 的 属性 ,属性 头 的 长 度 为 32 字 节 ,而 属性 体 的 长 度 则 取决 于 90H 属性 所 存储 
的 内 容 ; 在 90H 属性 中 ,常用 到 的 索引 项 类 型 及 名 称 见 表 6.31 所 列 。 


表 6.31 常用 索引 项 表 


名 称 索引 项 类 型 常用 的 地 方 名 称 索引 项 类 型 常用 的 地 方 
$ 130 文件 名 目录 $O 所 有 者 ID $ Quota 
$SDH 安全 描述 符 $ Secure $Q 配额 $ Quota 

$ SII 安全 ID $ Secure $R 重 解析 点 $ Reparse 
$0 对 象 ID $Objld 


NTFS 对 索引 目录 的 管理 是 采用 B 一 树 结构 ,该 属性 是 NTFS 实现 对 索引 目录 管理 采用 
B 一 树 结构 的 根 节点 。 

作者 经 过 大 量 的 观察 发 现 ,文件 夹 记录 可 以 分 为 以 下 6 种 情况 : 

第 一 种 情况 : 在 90H 属性 中 ,不 存储 任何 文件 名 或 索引 节点 号 , 即 文件 夹 为 空 ,90H 属性 
是 该 记录 的 最 后 一 个 属性 ; 文件 夹 记录 的 结构 大 致 如 图 6. 28 所 示 。 


文件 夹 记 录 头 | 10H 属 性 ”| 30H 属 性 90H 属 性 记录 结束 标志 


图 6.28 文件 夹 记录 的 第 一 种 情况 结构 图 


例如 : H 盘 中 的 A05 文件 夹 ,记录 号 为 15414, 由 于 结构 简单 ,不 再 作 分 析 。 

第 二 种 情况 : 文件 夹 中 的 所 有 文件 ( 夹 ) 名 都 存储 在 文件 夹 记录 的 90H 属性 中 ,90H 属性 
是 该 记录 的 最 后 一 个 属性 ,文件 夹 记录 结构 大 致 如 图 6. 29 所 示 ; 这 种 情况 是 针对 文件 夹 中 存 
储 的 文件 ( 夹 ) 名 数量 比较 少 ( 注 : 所 存储 文件 ( 夹 ) 的 数量 与 文件 ( 夹 ) 名 的 长 度 有 关 ) ,90H 属 
性 中 存储 的 文件 ( 夹 ) 名 基本 结构 ,如 图 6. 30 所 示 。 在 图 6. 30 中 ,文件 ( 夹 ) 名 1 二 文件 ( 夹 ) 名 
2 一 ……- 去 文件 ( 夹 ) 名 n.90H 属性 结束 标志 为 “10 00 00 00 02 00 00 00”( 存 储 形式 )。 


文件 夹 | 10H | 30H 记录 结 无 用 


TEL | 属性 | 属性 90H 属 性 ( 见 图 6.30 所 示 ) 束 标志 数据 


图 6.29 文件 夹 记录 的 第 二 种 情况 结构 图 
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90H 标 准 


属性 类 [=a 和 | 文件 (天 ) 名 1 


90H 属 性 
结束 标志 


文件 ( 夹 ) 名 2 | … | 文件 ( 夹 ) 名 n 


字 节 偏 移 


6.30 所 有 文件 ( 夹 ) 名 都 存储 在 90H 属性 中 的 基本 结构 图 
90H 属性 中 存储 的 文件 名 描述 见 表 6. 32 所 列 。 


表 6.32 90H 属性 中 存储 文件 名 情况 
& x 


备注 


0X000 


90H 属性 


0X004 


属性 长 度 ( 即 属性 头 十 属性 体 ) 


0X008 


总 为 00 


0X009 


属性 名 的 名 称 长 度 


0X00A 


属性 名 的 偏 移 


0X00C 


标志 (压缩 加密、 稀疏 等 ) 


0X00E 


属性 ID 标识 


0X010 


属性 体 长 度 


0X014 


属性 体 开 始 偏 移 


0X016 


索引 标志 为 00 


0X017 


无 意义 (填充 到 8 字 节 的 倍数 ) 


0X018 


属性 名 为 $I30 


FAS 


0X020 


属性 类 型 


0X024 


校对 规则 


0X028 


每 个 索引 节点 分 配 大 小 (单位 : 字 节 ) 


0X02C 


BARIP AAIE , 4 84" 88 09 KS 时 ,该 值 为 每 个 
索引 节点 所 占 簇 数 ; 当 每 个 簇 的 扇 区 数 宇 16 时 ,该 值 为 每 个 索 
引 节点 所 占 扇 区 数 ,该 值 固定 为 8, 即 每 个 索引 节点 为 8 个 扇 区 


0X02D 


无 意义 (填充 到 8 字 节 的 倍数 ) 


0X030 


第 一 个 索引 项 的 偏 移 


0X034 


索引 项 总 的 大 小 ,单位 : 字 节 


0X038 


索引 项 的 分 配 大 小 ,单位 : 字 节 


0X03C 


标志 : 当 该 字 节 为 00 时 ,表示 为 小 索引 , 即 只 有 1 个 索引 节点 
当 该 字 节 为 01 时 ,表示 为 大 索引 , 即 有 两 个 以 上 的 索引 节点 


0X03D 


无 意义 (填充 到 8 字 节 的 倍数 ) 


0X040 


该 文件 ( 夹 ) 的 $MFT 参考 号 


0X048 


索引 项 的 大 小 (相对 索引 项 开始 的 偏 移 ) 


0X04A 


文件 ( 夹 ) 名 属性 体 大 小 


0X04C 


索引 标志 :为 1 表示 这 个 索引 项 包含 子 节点 ; 为 2 表示 这 是 最 
后 一 项 


0X04E 


用 0 填充 ,无 意义 


0X050 


父 目 录 的 $ MFT 参考 号 


0X058 


文件 ( 夹 ) 创 建 时 间 


0X060 


文件 ( 夹 ) 最 后 修改 时 间 


0X068 


文件 (来 ) 记 录 最 后 修改 时 间 


0X070 


文件 ( 夹 ) 最 后 访问 时 间 


0X078 


co | œœ | œœ | co | œœ | oo | o 


文件 ( 夹 ) 分 配 大 小 (单位 : 字 节 ) 


= w m= Š 
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续 表 
字 节 偏 移 字 节 数 & x 备注 
0X080 8 文件 ( 夹 ) 实 际 大 小 (单位 : 字 节 ) 
0X088 8 文件 ( 夹 ) 标 志 # | 90H 
0X090 1 文件 ( 夹 ) 名 的 长 度 ,假设 为 下 引 属 
0X091 1 文件 ( 夹 ) 名 的 命名 空间 项 性 
0X092 2XF | 文件 ( 夹 ) 名 体 
0X092+2X F P 填充 到 能 被 8 整除 (无 意义 ) 
索引 


说 明 : 索引 头 后 面 存储 着 不 同 长 度 的 索引 项 序列 ,由 带 有 最 后 一 个 索引 项 标志 的 特殊 索 
引 项 来 结束 , 即 第 1 个 存储 形式 以 *10 00 00 00 02 00 00 00” 为 结束 标志 。 当 一 个 目录 中 的 文 
件 或 目录 比较 少时 , 即 小 目录 ,其 索引 根 属性 可 以 包括 所 有 文件 名 和 文件 夹 名 的 索引 。 

例 6.18 文件 夹 名 为 abcd, 记 录 号 为 11866, 在 abcd 文件 夹 中 存储 了 4 个 文件 夹 ,4 个 文 
件 夹 名 分 别 为 abcdl、abcd2、abcd3 和 abcd4, 其 90H 属性 如 图 6. 31 所 示 。 


Offset 
06E96900 
06E96910 

06E96920 
06E96930 
06E96940 
06E96950 
06E96960 
06E96970 
06E96980 
06E96990 
06E969A0 
06E969B0 
06E969C0 
06E969D0 
06E969E0 
06E969F0 
06E96A00 
06E96A10 
06E96A20 
06E96A30 
06E96A40 
06E96A50 
06E96A60 
06E96A70 
06E96A80 
06E96A90 
06E96AA0 
06E96AB0 
06E96AC0 
06E96AD0 


0 


1 


234567 


8 9ABCDEF 


90 00 00 00 DO 01 00 00 00 04 18 00 00 00 01 00 
BO 01 00 00 20 00 00 00 24 00 49 00 33 00 30 00 


30 00 00 00 01 00 00 00 
10 00 00 00 A0 01 00 00 
5B 2E 00 00 00 00 01 00 


5A 
24 
24 
00 
05 
63 
5A 
C4 
C 
00 
05 
6A 
5A 
C 
G 
00 
05 
6E 
5A 
64 
64 
00 
05 
00 


2E 


64 El 


64 
00 
03 


EF 0B 
EF 0B 
00 00 
61 00 
00 00 


00 
E4 
E4 
00 
62 
00 
00 
E4 
E4 
00 
62 
00 
00 
E4 
E4 
00 
62 
00 
00 
E4 
E4 
00 
62 
00 


FF FF FF FF 82 


00 01 
61 DO 
61 DO 
00 00 
00 63 
00 01 
00 01 
61 DO 
61 DO 
00 00 
00 63 
00 01 
00 01 
61 DO 
61 DO 
00 00 
00 63 
00 01 
00 01 
61 DO 
61 DO 
00 00 
00 63 


00 00 00 {t0 00 00 00 02 00 00 00 


79 47 


图 6. 31 


00_ 84 
01 24 
01_00 
00_00 
00 64 
00 60 
00 24 
01 C4 
01 00 
00 00 
00 64 
00_60 
00 C4 
01 C4 
01 00 
00 00 
00 64 
00 60 
00 64 
01 64 
01 00 
00 00 
00 64 


DD EA 0B 
64 EC OB 
00 00 00 
00 00 10 
00 31 00 
00 4C 00 
64 EC 0B 
EA ED 0B 
00 00 00 
00 00 10 
00 32 00 
00 4C 00 
EA ED OB 
EA ED OB 
00 00 00 
00 00 10 
00 33 00 
00 4C 00 
71 EF 0B 
71 EF 0B 
00 00 00 
00 00 10 
00 34 00 


E4 
E4 


61 


00 


DO 
DO 
00 


00 


00 10 00 00 01 00 00 00 
AO 01 00 00 00 00 00 00 
60 00 4C 00 00 00 00 00 


01 
01 
00 


00 


11 00 00 00 00 00 00 00 00 


11866 号 记录 的 90H 属性 


@ 大 话 数据 恢复 


11866 号 记录 90H 属性 结构 说 明 见 表 6. 33 所 列 。 从 90H 属性 可 知 , 索 引 项 共有 4 个 。 
在 90H 属性 中 存储 了 abed 文件 夹 中 的 4 个 文件 夹 名 以 及 每 个 文件 夹 的 基本 信息 ,包括 每 个 
文件 夹 建 立 和 修改 的 日 期 时 间 等 等 ,11866 号 记录 结构 如 图 6. 32 所 示 。 


表 6.33 11866 号 记录 90H 属性 结构 


字 节 | 字 节 值 
偏 移 | 数 | 十 进 制 | 十 六 进 制 | 存储 形式 s. 
OX00| 4 144 90 90 00 00 00 90H 属性 
OX04| 4 464 1D0 Do 01 00 00 | 90H 属性 长 度 为 0X01D0 字 节 
0X08| 1 0 0 00 00 表示 常 驻 
0X09| 1 4 4 04 属性 名 长 度 为 4 个 Unicode 码 ER 
OXOA| 2 24 18 18 00 属性 名 偏 移 为 0X0018 m 
OXoC| 2 0 0 00 标志 (压缩 ,加 密 、 稀 朴 等 ) 性 
0OXOE| 2 1 1 01 00 标识 为 1 * 
0X10| 4 432 1B0 BO 01 00 00 | 属性 体 长 度 为 0X01BO 
0X14| 2 32 20 20 00 属性 体 开始 偏 移 为 0X20 
0X16| 1 0 0 00 索引 标志 为 0 
0X17| 1 0 0 00 填充 为 0 
0X18| 8 24004900 | 属性 名 为 $130, 即 索引 为 文件 名 索引 
33 00 30 00 
0X20| 4 30 00 00 00 属性 类 型 为 0X30 索 
0X24 | 4 01 00 00 00 校对 规则 为 1 引 
OX28| 4 4096 1000 | 00 10 每 个 索引 节点 分 配 大 小 为 0X1000 字 节 | 根 
OX2C| 1 1 į 01 每 个 索引 节点 为 1 4388 
0OX2D| 3 0 0 00 00 00 无 意义 ,填充 为 0 
0X30| 4 16 10 10 00 00 00 | 第 一 个 索引 项 的 偏 移 为 0X10 
OX34| 4 416 1A0 A0 01 00 00 | 索引 项 总 的 大 小 为 0X01A0 字 节 索 
0X38| 4 416 1A0 A0 01 00 00 | 索引 项 的 分 配 大 小 0X01A0 字 节 引 
标志 : 当 该 字 节 为 00 时 ,表示 其 为 小 | 、 
0X3C| 1 0 0 00 头 
索引 SE 
0X3D| 3 0 0 00 00 00 无 意义 属 
0X40| 6 11867 2E5B Ea 00 99 abcd1 文件 夹 的 记录 号 为 0X2E5B 性 
OX46| 2 1 01 01 00 abcd1 文件 夹 更 新 的 序号 为 1 体 
0X4 1 2 96 60 60 00 abcd1 索引 项 的 大 小 为 0X60 字 节 
OX4A| 2 76 4C 4C 00 abcd1 文件 夹 属性 体 大 小 为 0X4C 字 节 
索引 标志 :为 1 表示 这 个 索引 项 包含 子 
OX4C| 2 0 0 00 00 节点 ,为 2 表示 这 是 最 后 一 项 ; 此 处 
为 00 abcd1 
OX4E| 2 0 0 00 00 用 0 填充 ,无 意义 
人 s. Eee 5A 2E 00 00 | ZH R(E abcd 文件 夹 ) 的 记录 号 
00 00 为 0X2E5A 
OX56| 2 š 01 01 00 即 abcd 文件 夹 更 新 序号 为 01 
aale 84 DD EA OB | abcd1 文件 夹 创建 时 间 : 2015-03-19 01: 
E4 61 D0 01 | 28:47 
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续 表 

字 节 | 字 节 值 、 
偏 移 | 数 | 十 进 制 | 十 六 进 制 | 存储 形式 人 
Bo g 24 64 EC 0B | abcdl 文件 夹 最 后 修改 时 间 : 2015-03- 

E4 61 D001 | 19 01:28:47 
Eem 24 64 EC 0B | abcd] 文件 夹 记录 最 后 修改 时 间 : 2015- 

E4 61 DO 01 | 03-19 01:28:47 
aal E 24 64 EC 0B | abcdl 文件 夹 最 后 访问 时 间 : 2015-03- 

E4 61 DO 01 | 19 01:28:47 
0X78| 8 0 0 de apas 文件 夹 分 配 大 小 为 0 字 节 

00 00 00 00 90H 

00 00 00 00 asan 属 
0X80| 8 0 0 abcd1 文件 夹 实际 大 小 为 0 字 节 

00 00 00 00 性 
0X88| 8 tod abcd1 文件 夹 标志 为 10000000, 即 目录 j 

00 00 00 00 

abcdl 文件 夹 名 长 度 为 5 个 Unicode 
0X90| 1 5 5 05 码 , 即 10 字 节 
OX91| 1 3 Š 03 abcd1 文件 夹 名 的 命名 空间 为 3 
0X92 | 14 文件 夹 名 为 abcd1 
wt 下 一 个 索引 项 为 abcd2, 其 结构 与 abcdl | 
结构 相同 
1186615 90H 属 性 


记录 头 abcdl | aba | abed3 | abed4 | 来 标志 | 数据 


6.32 11866 号 记录 结构 图 


第 三 种 情况 : 文件 夹 中 存储 的 文件 ( 夹 ) 名 数量 比较 多 ,在 90H 属性 中 无 法 存储 时 , 需 
要 将 文件 夹 中 所 存储 的 文件 ( 夹 ) 名 移动 到 一 个 索引 节点 中 ,而 在 90H 属性 中 只 存储 一 个 索 
引 节点 号 ,这 个 索引 节点 号 为 0。 这 时 候 就 需要 用 到 A0H 属性 ( 即 索引 分 配属 性 ) 和 BOH 
属性 (即位 图 属性 ) ,索引 节点 号 所 在 位 置 以 数据 运行 列表 的 形式 存储 在 AOH 属性 中 ,而 
BOH 属性 值 则 记录 了 该 索引 节点 号 的 状态 为 有 效 ,文件 夹 记录 的 第 三 种 情况 大 致 如 图 6. 33 


所 示 。 
90H 属 性 
10H 属 性 | 30H 属 性 AOH 属 性 
ús Ft 0 号 索引 节点 


0 号 索引 节点 
文件 ( 夹 ) 名 1， 文 件 ( 夹 ) 名 2，…， 文 件 ( 夹 ) 名 mm 


文件 夹 


.| 记录 结 | 无 用 
记录 头 BORME g 


标志 | 数据 


图 6.33 文件 夹 记录 的 第 三 种 情况 结构 图 


例 6.19 文件 夹 名 为 a16, 记 录 号 为 35, 在 al6 文件 夹 中 存储 了 16 个 文件 ,文件 名 为 
a000. txt~a015. txt, 其 90H 属性 .A0H 和 BOH 属性 如 图 6. 34 所 示 ,其 说 明 见 表 6. 34 所 列 。 


全 大 话 数据 恢复 


Offset 01234567 89ABCDEF 
06308CF0 90 00 00 00 58 00 00 00 
06308D00 00 04 18 00 00 00 05 00 38 00 00 00 20 00 00 00 
06308D10 24 00 49 00 33 00 30 00 30 00 00 00 01 00 00 00 
06308D20 00 10 00 00 01 00 00 00 10 00 00 00 28 00 00 00 
06308D30 28 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 
06308D40 18 00 00 00 03 00 00 00 0000 00 00 00 00 00 00 , 
06308D50 AO 00 00 00 50 00 00 00 01 04 40 00 00 00 03 00 AOH 属 性 的 数据 
06308D60 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 运行 列表 
06308D70 48 00 00 00 00 00 00 00 00 10 00 00 00 00 00 00 - 
06308D80 00 10 00 00 00 00 00 00 00 10 00 00 00 00 00 00 
06308D90 24 00 49 00 33 00 30 00 
06308DA0 BO 00 00 00 28 00 00 00 00 04 18 00 00 00 04 00 
06308DBO 08 00 00 00 20 00 00 00 24 00 49 00 33 00 30 00 
06308DCO 01 00 00 00 00 00 00 00 FF FF FF FF 82 79 47 11 
6.34 35 号 记录 中 的 90H 属性 .A0H 属性 和 BOH 属性 
表 6.34 35 号 记录 90H 属性 结构 
字 节 | 字 节 值 Š 
= s & x 备注 
偏 移 | 数 | 十进制 | 十 六 进 制 | 存储 形式 
OX00| 4 144 90 90 00 00 00 90H 属性 
OX04| 4 88 58 58 00 00 00 | 属性 长 度 为 0X58 字 节 
0X08| 1 0 0 00 00 表示 常 驻 
0X09| 1 4 4 04 属性 名 长 度 为 4 个 Unicode 码 
OX0A| 2 24 18 18 00 属性 名 偏 移 为 0X0018 90H 
OXoC| 2 0 0 00 00 标志 (压缩 ,加 密 、 稀 朴 等 ) m 
OXoE| 2 5 5 05 00 属性 ID 标识 为 5 性 
OX010| 4 56 38 38 00 00 00 | 属性 体 长 度 为 0X38 
OX014| 2 32 20 20 00 属性 体 开始 偏 移 为 0X20 头 
0X016| 1 0 0 00 00 索引 标志 为 0 
0X017 1 00 填充 为 0 
24 00 49 00 
0X018| 8 属性 名 为 $130, 即 索引 为 文件 名 索引 
33 00 30 00 
OX020| 4 30 30 00 00 00 | 属性 类 型 为 0X30 
OX024| 4 1 01 01 00 00 00 | 校对 规则 为 1 索 
0X028 4 4096 1000 | 0010 每 个 索引 节点 的 分 配 大 小 为 0X1000 字 节 “| 引 
0X02C 1 1 1 01 每 个 索引 节点 为 1 438 根 
OX02D 3 0 0 00 00 00 无 意义 ,填充 为 0 
0X030| 4 16 10 10 00 00 00 | 第 一 个 索引 项 的 偏 移 为 0X10 
0X034| 4 40 28 28 00 00 00 索引 项 总 的 大 小 为 0X28 字 节 索 
0X038 4 40 28 28 00 00 00 索引 项 的 分 配 大 小 为 0X28 字 节 引 90H 
0X03C| 1 1 1 01 标志 : 当 该 字 节 为 01 时 ,表示 为 大 索引 头 m 
0X03D 3 0 0 00 00 00 无 意义 性 
00 00 00 00 | 文件 记录 的 ID 号 ,索引 项 无 文件 名 ,此 处 
OX040| 8 0 0 体 
00 00 00 00 为 0 
0X48| 2 24 18 18 00 本 索引 项 的 长 度 ( 相 对 于 索引 项 开始 处 ) 
OX5A| 2 0 0 00 00 内 容 长 度 索 
oxsC| 2 | 3 0 | oa oo 标志 ,0X01 有 子 节 点 ,0X02 为 列表 最 后 一 项 | I 
OX5E| 2 0 0 00 00 未 使 用 
00 00 00 00 
OX60| 8 0 0 索引 节点 号 为 0 
00 00 00 00 
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35 号 记录 的 90H 属性 结构 如 图 6. 35 所 示 , 从 图 6.35 可 知 ,在 al6 文件 夹 中 的 16 个 文件 
名 并 没有 存储 在 35 号 记录 的 90H 属性 中 ,而 是 存储 在 0 号 索引 节点 中 ,0 号 索引 节点 的 位 置 
由 35 号 记录 的 AOH 属性 中 的 数据 运行 列表 来 确定 ,90H 属性 中 只 存储 了 1 个 索引 节点 号 ， 
索引 节点 号 为 0; 从 A0H 属性 数据 运行 列表 可 知 ,0 号 索引 节点 位 置 为 24915( 即 0X6153) 


号 簇 。 


o, 1 P 90H 属 性 A0H BOH | 记录 结 | 无 用 
35 呈 记录 拓 |109 属 性 | 30H 属 性 | 0 号 索引 上 | 属性 | 属性 | 束 标志 | 数据 
0 号 索引 节点 
a00.txt~a15.txt 
图 6.35 35 号 记录 结构 图 


第 四 种 情况 : 在 90H 属性 中 既 存储 文件 夹 中 的 文件 ( 夹 ) 名 ,也 存储 索引 节点 号 , 且 所 存 
储 的 文件 ( 夹 ) 名 数量 等 于 存储 的 索引 节点 号 的 数量 减 1, 而 文件 夹 中 的 其 余 文 件 ( 夹 ) 名 则 分 
别 存储 在 各 个 索引 节点 中 ,90H 属性 后 是 A0H 属性 和 BOH 属性 。 
假设 在 某 文件 夹 中 存储 了 个 文件 ( 夹 ) ,文件 ( 夹 ) 名 为 文件 1 至 文件 ,文件 夹 记 录 的 第 
4 种 情况 结构 图 大 致 如 图 6. 36 所 示 ; 其 中 : xusrssi Js 和 nn 均 为 正 整数 , 且 ;<;j<k—< 
m<mn; uvr 为 索引 节点 号 。 


文件 夹 记 录 头 、 = 90H 属 性 JET AOH | BoH | 记录 结 | 无 用 
10H 属 性 、30H 属 性 | 文件 i | AAA | 文件 / 70 ran | artes | 属性 | 属性 | 康 标 志 | 数据 
引 节 点 引 节点 | 引 节点 
4 号 索引 节点 v 号 索引 节点 | a... 7 号 索引 节点 5 号 索引 节点 
文件 1 ~ 文件-1 KPPA- | Q... 文件 二 文件 p-1 || 文件 p+1~ 文 件 n 


例 6. 20 


图 6.36 文件 夹 记录 的 第 四 种 情况 结构 图 


文件 夹 名 为 a61, 记 录 号 为 127, 在 a61 文件 夹 中 存储 了 61 个 文件 ,文件 名 为 


a00. txt 一 a60. txt,127 号 记录 的 90H 属性 如 图 6. 37 所 示 ,其 说 明 见 表 6. 35 所 列 。 


Offset 

0631FCF0 
0631FD00 
0631FD10 
0631FD20 
0631FD30 
0631FD40 
0631FD50 


01234567 


00 04 18 00 00 00 05 00 
24 00 49 00 33 00 30 00 
00 10 00 00 01 00 00 00 
90 00 00 00 01 00 00 00 
68 00 50 00 01 00 00 00 
84 08 D7 04 E4 61 DO 01 

61 DO 01 


06a1rnen os no na na p4 
06|，a20.txt 的 Unicode 码 ”jo 00 00 00 
0631FD80 20 00™wJ00 00 00 00 00 


0631FD90 
0631FDA0 
0631FDB0 


89ABCDE F 
90 00 00 00 C0 00 00 00 
A0 00 00 00 20 00 00 00 
30 00 00 00 01 00 00 00 
10 00 00 00 90 00 00 00 
94 00 00 00 00 00 01 00 
7F 00 00 00 00 00 01 00 
00 D4 1F D7 61 4B CC 01 
84 08 D7 04 E4 61 DO 01 
00 00 00 00 00 00 00 00 
07 03 61 00 32 00 30 0l 


BE 00 74 00 78 00 74 oo) 00 00 00 00 00 00 00 00 


00 00 00 00 00 00 00 00 18 00 00 00A 


on_Q0 00 
a 于 
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& 大 话 数据 恢复 


表 6.35 127 号 记录 的 90H 属性 结构 


字 节 | 字 节 值 
偏 移 | 数 | 十进制 | 十 六 进 制 | ”存储 形式 s ui 
OX000| 4 144 90 90 00 00 00 90H 属性 
OX004| 4 192 Co C0000000 | 90H 属性 长 度 为 0XC0 字 节 
0X008| 1 0 00 00 00: 表示 常 驻 
0X009| 1 4 04 04 属性 名 长 度 为 4 个 Unicode 码 
OX00A| 2 24 18 18 00 属性 名 偏 移 为 0X0018 sb 
OX00C| 2 0 0 00 00 标志 (压缩 ,加 密 、 稀 朴 等 ) 
0XOOE| 2 5 05 05 00 标识 为 5 A 
0X010| 4 160 A0 A0 00 00 00 | 属性 体 长 度 为 0XA0 P: 
OX014| 2 32 20 20 00 属性 体 开始 偏 移 为 0X20 
0X016 | 1 0 0 00 索引 标志 为 0 
OX017| 1 0 0 00 填充 为 0 
0X018| 8 24004900 | 属性 名 为 $130, 即 索引 为 文件 名 索引 

33 00 30 00 
0X020| 4 48 30 30 00 00 00 属性 类 型 为 0X30 
OX024| 4 1 1 01 00 00 00 | 校对 规则 为 1 索 
0X028| 4 4096 1000 | 0010 ee 0 人 引 
0X02C| 1 1 上 01 每 个 索引 节点 为 1 48 d 
0X02D| 3 0 0 00 00 00 无 意义 ,填充 为 0 
0X030| 4 16 10 10 00 0000 | 第 一 个 索引 项 的 偏 移 为 0X10 
OX034| 4 144 90 90 00 00 00 ERDA A OXE MA 143 

字 节 索 
Doel Q isi m EN 索引 项 的 分 配 大 小 0X90 字 节 , 即 144 | 引 
字 节 头 

0X03C| 1 1 01 01 标志 : 当 该 字 节 为 01 时 ,表示 为 大 索引 
OX03D| 3 0 0 00 00 00 无 意义 90H 
OX040| 6 148 94 ee a20. txt 文件 的 记录 号 为 0X94 

00 00 性 
OX046| 2 1 01 00 a20. txt 文件 更 新 的 序号 体 
OX048| 2 104 68 68 00 a20. txt 索引 项 的 大 小 为 0X68 字 节 
OXO4A| 2 80 50 |5000 s 本 
0X04C| 2 1 01 01 00 此 处 为 01 表示 这 个 索引 项 包含 子 节点 s 
0X04E| 2 0 00 00 00 用 0 填充 ,无 意义 

7F 000000 | 父 目录 ( 即 a61 文件 夹 ) 的 记录 号 可 
0X050| 6 127 7F 1 

00 00 为 0X7F 
0X056 | 2 1 01 01 00 父 目 录 ( 即 a61 文件 夹 ) 更 新 序号 为 01 

84 08 D7 04 | a01. txt 创建 时 间 : 2015-03-19 01: 
0X058| 8 

E4 61 D0 01 | 28:35 

00 D4 1F D7 | a01. txt 最 后 修改 时 间 :2011-07-26 07; 
0X060| 8 

61 4B CC 01 | 01:28 
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续 表 
字 节 | 字 节 值 
E x 备注 
偏 移 | 数 | 十进制 | 十 六 进 制 | ”存储 形式 
84 08 D7 04 | 记录 最 后 修改 时 间 : 2015-03-19 01; 
0X068| 8 
E4 61 D001 | 28:35 
84 08 D7 04 | a01. txt 最 后 访问 时 间 : 2015-03-19 01: 
0X070| 8 
E4 61 D001 | 28:35 
00 00 00 00 
0X078] 8 0 0 SENN a20. txt 文件 分 配 大 小 为 0 字 节 
00 00 00 00 
0X080| 8 0 0 1 a020. txt 文件 实际 大 小 为 0 字 节 
0X088| 8 32 20 Ra bida a020. txt 文件 标志 为 20, 即 存档 文件 
00 00 00 00 
0X090| 1 T 7 07 文件 名 的 长 度 为 7 个 Unicode 码 
0X091| 1 3 3 03 文件 名 的 命名 空间 为 3 R | 90H 
0X092 | 14 文件 名 为 a020. txt 引 属 
oxoAo| 8 o |00000000 | sz0. txt 后 的 索引 节点 号 ( 即 指针 ) 为 0 | 项 | 性 
00 00 00 00 i 体 
00 00 00 00 | 文件 记录 的 ID 号 ,索引 项 无 文件 名 ,此 
0XOA8| 8 0 
00 00 00 00 处 为 0 
dd 2 j is 18:69 T 
内 容 长 度 (索引 中 的 索引 文件 名 属性 长 
0X0B2| 2 0 0 00 00 B 
标志 ,01 有 子 节点 ,02 为 列表 最 后 一 
0X0B4| 2 3 03 03 00 项 。 组 合 后 为 既 有 子 节点 又 是 列表 的 
最 后 一 项 
0XOB6| 2 0 0 00 00 未 使 用 
oxocs| 8 | 1 1 [07000000 | 索引 节点 号 ( 即 针 指 ) 为 1 
00 00 00 00 


127 号 记录 的 90H 属性 结构 ,如 图 6. 38 所 示 ,从 图 6. 38 可 知 ,在 90H 属性 中 存储 1 个 索 
引文 件 名 和 2 个 指针 ( 即 索引 节点 号 ) ,索引 文件 名 为 a20. txt, 指 针 号 分 别 为 0 和 1。 而 在 0 号 
索引 节点 中 存储 的 文件 名 为 a00. txt~al9.txt, 共 计 20 个 ; 在 1 号 索引 节点 中 存储 的 文件 名 
为 a21. txt~a40. txt, 共 计 40 个。 


127 号 | 10H | 30H 90H 属 性 A0H | BOH | 记录 结 | 无 用 
记录 头 | 属性 | 属性 | a20.txt | 0 号 索引 节点 | 1 号 索引 节点 | 属性 | 属性 | 束 标志 | 数据 


0 号 索引 节点 1 号 索引 节点 
a00.txt~a19.txt a21.txt~a40.txt 


6.38 127 号 记录 结构 图 


È 大 话 数据 恢复 


0 号 和 1 号 索引 节点 的 位 置 由 127 号 记录 的 A0H 属性 中 的 数据 运行 列表 ( 注 : 数据 运行 
列表 为 "21 02 57 61”) 来 确定 ,从 A0H 属性 的 数据 运行 列表 可 知 ,0 号 索引 节点 在 24919 号 
簇 ,而 1 号 索引 节点 在 24920 号 簇 。 

注 : 索引 节点 号 与 每 个 簇 的 扇 区 数 有 关 。 由 于 在 H 盘 中 每 个 簇 的 扇 区 数 为 8, 每 个 索引 
节点 大 小 为 1 个 簇 , 所 以 ,索引 节点 号 正好 是 0 和 1。 

第 五 种 情况 : 文件 夹 中 所 存储 的 文件 ( 夹 ) 名 数量 比较 多 时 , 即 当 文件 夹 中 的 文件 ( 夹 ) 不 
断 增加 ,90H 属性 中 无 法 存储 索引 文件 ( 夹 ) 名 时 ,NTFS 会 将 这 些 索 引文 件 ( 夹 ) 名 及 指针 移 
动 到 一 个 索引 节点 中 ,这 个 索引 节点 号 往往 不 是 0, 在 90H 属性 中 存储 该 索引 节点 号 。 这 时 候 
就 需要 用 到 A0H 属性 ( 即 索引 分 配属 性 ) 和 Bo H 属性 (即位 图 属性 ) ,各 索引 节点 的 位 置 以 数 
据 运行 列表 的 形式 存储 在 AOH 属性 中 。 

假设 在 某 文件 夹 中 存储 及 个 文件 ( 夹 ) ,文件 ( 夹 ) 名 为 文件 1 至 文件 2 文件 夹 记录 的 第 
五 种 情况 图 如 6. 39 所 示 。 


90H 属 性 ; š 
ypa 2 a Pk 7 A0H | BOH | 记录 结 | 无 用 
SPRER | IDARE | 309 同性 ugga 。 ”| 属性 | 属性 | 束 标志 | 数据 
4 号 索引 节点 
文 作 xt | 文件 m 

Uv 号 索引 节点 w 号 索引 节点 | 7 号 索引 节点 5 号 索引 节点 

Uv 号 索引 节点 w 号 索引 节点 |...... 7 号 索引 节点 3 号 索引 节点 

文件 1~ 文 件 i-1 文件 1 文件 -1 | …… 文件 k- 文 件 m-1 文件 m+1~ 文 件 n 

图 6.39 文件 夹 记录 的 第 五 种 情况 结构 图 
注 : 在 图 6. 39 P ,uvwr sij km 入 均 为 正 整数 , 且 文 件 i 过 文件 j 二 …… 过 文件 & 二 


XAF m< X#E n; u、v、w、r,s 为 索引 节点 编号 ; 
顺序 为 : 文件 ;二 号 索引 节点 号 ,文件 7 十 zw 号 索引 节点 号 ， 


18 00 00 00 03 00 00 00 十 s 号 索引 节点 号 。 
其 90H 属性 基本 结构 如 图 6. 40 所 示 。 


在 “号 索引 节点 中 ,文件 名 与 索引 节点 的 存放 


;文件 m 十 r 号 索引 节点 号 和 


90H 属 性 头 | 索引 根 | 索引 头 


索引 项 


(号 索引 节点 ， 即 B-_ 树 的 根 节点 号 ) 


90H 属 性 
结束 标志 


图 6.40 只 存储 一 个 节点 号 的 90H 属性 基本 结构 图 


90H 属性 中 存储 索引 节点 号 的 描述 见 表 6. 36 所 列 。 
文件 夹 名 为 a80, 记 录 号 为 260, 在 a80 文件 夹 中 存储 了 200 个 文件 ,文件 名 为 
a000. txt~a199. txt,260 号 记录 的 90H 属性 .A0H 和 BOH 属性 如 图 6.41 所 示 。260 号 记录 
90H 属性 说 明 见 表 6. 37 所 列 ,90H 属性 与 索引 节点 关系 如 图 6. 42 所 示 。 


l| 6.21 
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表 6.36 90H 属性 中 存储 索引 节点 号 的 结构 表 


字 节 偏 移 “| 字 节 数 & x 备注 
0X000 4 90H 属性 
0X004 4 该 属性 长 度 
0X008 1 总 为 00 
0X009 1 属性 名 的 长 度 ( 假 设 为 N) 
0X00A 2 属性 名 的 名 称 偏 移 90H 
0X00C 2 REER WME MAE) 属 
0X00E 2 标识 性 
0X010 4 属性 体 长 度 £ 
0X014 A 属性 体 开 始 偏 移 
0X016 1 索引 标志 
0X017 1 无 意义 (填充 到 8 字 节 的 倍数 ) 
0X018 2XN | 属性 名 
0X018 十 2X N 4 索引 的 属性 类 型 
0X01C 十 2XN 4 校对 规则 
0X020+2X N 4 每 个 索引 节点 的 分 配 大 小 (单元 : 字 节 ) 索 
每 个 索引 节点 大 小 描述 , 当 每 个 簇 的 扇 区 数 三 8 时 ,该 值 为 每 个 索引 | 引 
0X024 十 2X N 1 节点 所 占 簇 数 ; 当 每 个 能 的 扇 区 数 过 16 时 ,该 值 为 每 个 索引 节点 所 | 根 
占 扇 区 数 ,该 值 固定 为 8, 即 每 个 索引 节点 为 8 个 肩 区 
0X025 十 2X N 3 无 意义 
0X028 十 2X N 4 第 一 个 索引 项 的 偏 移 
0X02C+2X N 4 索引 项 总 的 大 小 过 90H 
0X030 十 2X N 4 索引 项 的 分 配 大 小 引 属 
标志 : 当 该 字 节 为 00 时 ,表示 其 为 小 索引 (适合 于 索引 根 ); KAF 性 
0X034+2X N 1 “a 头 
节 为 01 时 ,表示 其 为 大 索引 (适合 于 索引 分 配 ) 体 
0X035+2X N 3 无 意义 
0X038+2X N 8 未 定义 (目录 索引 中 用 于 记录 文件 的 $ MFT 文件 参考 号 ) 
0X03A+2XN| 2 本 索引 项 的 长 度 
OX03D+2XN| 2 内 容 长 度 (目录 索引 中 用 于 记录 文件 名 属性 长 度 ) 索 
示 志 ， 示 一 项 ， 
OKO3E42SN | 2 标志 ,为 0003 表示 有 子 节点 且 为 最 后 列表 一 项 ,0002 为 列表 的 最 后 | 引 
一 项 项 
0X040+2X N 未 使 用 
0X048+2X N B 一 树 索引 节点 号 
Offset 01234567 89ABCDEF 
063410F0 90 00 00 00 58 00 00 00 ..a.8.0.....X... 
06341100 00 04 18 00 00 00 06 00 38 00 00 00 20 00 00 00 wp 
06341110 24 00 49 00 33 00 30 00 30 00 00 00 01 00 00 00 | 90H 属 性 存储 | 
06341120 00 10 00 00 01 00 00 00 00 00 28 00 的 索引 节点 号 . 
06341130 28 00 00 00 01 00 00 00 00 00 00 00 
06341140 18 00 00 00 03 00 00 00 0 0 
06341150 A0 00 00 00 50 00 00 00 01 04 40 00 00 00 03 00 ⁄ 
06341160 00 00 00 00 00 00 00 00 0B 00 00 00 00 00 00 00 A0H 属 性 中 的 
06341170 48 00 00 00 00 00 00 00 00 CO 00 00 00 00 00 00 \、 数 据 运行 列表 
06341180 00 CO 00 00 00 00 00 00 0 00 00 00 
06341190 24 00 49 00 33 00 30 00 1 8 
063411A0 BO 00 00 00 28 00 00 00 00 04 18 00 00 00 04 00 
063411B0 08 00 00 00 20 00 00 00 24 00 49 00 33 00 30 00 
063411C0 FF 07 00 00 00 00 00 00 FF FF FF FF 82 79 47 11 


6.41 260 号 记录 的 90H、AOH 和 BOH 属性 


他 大 话 数据 恢复 


表 6.37 260 号 记录 的 90H 属性 说 明 


字 节 | 字 节 值 
偏 移 | 数 | 十进制 | 十 六 进 制 | 存储 形式 
OX000 | 4 144 90 90 00 00 00 90H 属性 
OX004 | 4 88 58 58 00 00 00 | 属性 长 度 为 0X58 字 节 
0X008 | 1 0 00 00 常 驻 
0X009 | 1 4 04 04 属性 名 长 度 为 4 个 Unicode 码 
0XOOA | 2 24 18 18 00 属性 名 的 开始 偏 移 地 址 0X18 s B 
OX00C | 2 0 00 00 00 没有 被 压缩 加 密 和 稀 政 
OXOOE | 2 6 06 06 00 标识 ID 为 06 
0X010 | 4 56 38 38 00 00 00 | 属性 体 的 长 度 为 0X38 > 
OX014 | 2 32 20 20 00 属性 体 的 开始 偏 移 地 址 为 0X20 
OX016 | 1 0 00 00 索引 标志 为 0 
0X017 | 1 0 00 00 无 意义 (不 足 8 字 节 ,填充 为 8 字 节 ) 
24 00 49 00 
OX018 | 8 EAEN 属性 名 为 $I30 
0X020 | 4 48 30 30 00 00 00 | 属性 类 型 为 0X30, 即 文件 名 索引 
0X024 | 4 1 1 01 00 00 00 | 校对 规则 为 1 
0X028 | 4 4096 1000 | 00 10 en n a ED 引 
OX02C | 1 1 1 01 每 个 索引 节点 为 1 448 ai kas 
OX02D | 3 0 0 00 00 00 无 意义 ,填充 为 0 la 
0X030 | 4 16 10 10 000000 | 第 一 个 索引 项 的 偏 移 为 0X10 性 
0X034 | 4 40 28 28 00 00 00 | 索引 项 的 大 小 为 0X28 字 节 索 i 
0X038 | 4 40 28 28 000000 | 索引 项 的 分 配 大 小 0X28 字 节 引 
OX03C | 1 1 1 1 详 见 说 明 (1) 头 
OX03D| 3 0 0 00 00 00 无 意义 
0X040 | 8 0 0 AR 未 定义 
00 00 00 00 
0X048 | 2 24 18 18 00 本 索引 项 的 长 度 0X18 90H 
OX04A | 2 0 00 00 00 内 容 长 度 * 属 
OX04C | 2 3 03 03 00 为 0003 表示 有 子 节点 x 性 
OX04E | 2 0 00 00 00 未 使 用 体 
07 00 00 00 
0X050 | 8 7 07 0602099 索引 节点 号 为 0X07 
说 明 : 


(1) 偏 移 地 址 0X03C 处 : 表示 索引 目录 级 别 , 当 该 字 节 的 值 为 “00 时 ,表示 为 小 索引 ，, 即 
该 文件 夹 中 的 所 有 索引 文件 名 均 存 放 在 90 属性 中 ,90H 属性 是 该 文件 夹 记录 的 最 后 一 个 属 
性 ; 为 “01? 时 ,表示 为 大 索引 ,90H 属性 后 是 A0H 属性 和 BOH 属性 。 

(2) 当 文件 夹 中 存放 的 文件 ( 夹 ) 名 比较 多 时 ,NTFS 将 采用 B 一 树 的 结构 对 索引 目录 进 
行 管理 , 即 NTFS 将 为 索引 目录 分 配 2 个 以 上 的 索引 节点 。 除 90H 属性 外 ,其 他 各 索引 节点 
的 位 置 由 存储 在 文件 夹 记录 A0H 属性 中 的 数据 运行 列表 来 确定 ,各 索引 节点 的 状态 由 文件 
夹 记录 BOH 属性 值 加 以 标识 。 有 关 NTFS 对 索引 目录 的 管理 在 本 章 6. 7 节 还 将 进一步 介绍 。 
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90H 属 性 i 
Pass oi aa AoH | BOH | 记录 结 | 无 用 
SEHA i iaie EER 属性 | 属性 a | 数据 


a019.txt | a039.txt | a059.txt | a079.txt | a099.txt | all9. al39.txt al59.txt | al79.txt 


0 号 索 | 158 | 258 | 358 | 458 | 5 6 号 索 | 858 | 958 | 10 号 
引 节点 | 引 节点 | 引 节 点 | 引 节点 | 引 节 点 | 引 节点 | 节点 | 引 节 点 | 引 节 


ee i T 2 a 1 1 


R || 1 号 索 || 2 号 索 [358 ][ 262 || sz || 38 || sug |938 || 562 

引 节点 || 引 节 点 || 引 节 点 || 引 节点 || 引 节 点 || 引 节点 || 引 节 点 || 引 节 点 | 引 节点 || 引 节 点 
a000.txt~ | | a020.txt~ | | a040.txt~ | | a060.txt~ | | a080.txt~ | | a100.txt~ | | a120.txt~ | | a140.txt~ | |al60.txt~ | | a180.txt~ 

a018.txt || a038.txt || a058.txt || a078.txt || a098.txt || all8.txt || al38.txt || al58.txt || al78.txt || al99.txt 


图 6.42 260 号 记录 的 90H 属性 与 索引 节点 关系 图 


第 六 种 情况 : 在 90H 属性 中 不 存储 任何 文件 ( 夹 ) 名 或 索引 节点 号 , 即 文件 夹 为 空 ,90H 
属性 后 是 A0H 属性 和 BOH 属性 ; 文件 夹 记录 结构 大 致 如 图 6. 43 所 示 ,这 种 情况 的 形成 过 程 
是 文件 夹 中 原来 存储 许多 文件 ( 夹 ) ,后 来 这 些 文 件 ( 夹 ) 被 用 户 删 除 ,文件 夹 为 空 所 形成 ,由 于 
结构 简单 ,不 再 作 分 析 。 


记录 结束 | 无 用 
标志 数据 


文件 夹 pi vi- - 中 F 
记录 类 10H 属 性 | 30H 属 性 | 90H 属 性 | AOH 属 性 | BOH 属 性 


图 6.43 文件 夹 记录 的 第 六 种 情况 结构 图 


作者 通过 大 量 的 实验 发 现 ,文件 夹 记录 变化 情况 如 下 : 

d) 当 用 户 在 NTFS 卷 上 建立 一 个 文件 夹 后 ,该 文件 夹 记录 属于 第 一 种 情况 。 

(2) 当 用 户 在 文件 夹 中 存放 几 个 文件 ( 夹 ) 后 ,文件 ( 夹 ) 数 量 一 般 少 于 7 个 ; 该 文件 夹 记录 
属于 第 二 种 情况 , 即 文件 夹 中 的 所 有 文件 ( 夹 ) 名 都 存储 在 文件 夹 记录 的 90H 属性 中 。 

(3) 当 用 户 在 文件 夹 中 再 存放 一 些 文件 ( 夹 ) ,文件 夹 记录 的 90H 属性 中 无 法 存储 文件 
( 夹 ) 名 时 ,NTFS 将 90H 属性 中 的 所 有 文件 ( 夹 ) 名 移动 到 一 个 索引 节点 中 ,索引 节点 所 在 簇 
号 由 A0H 属性 中 的 数据 运行 列表 来 确定 ,该 索引 节点 的 状态 由 BOH 属性 值 加 以 标识 。 索引 
节点 的 编号 为 0, 在 90H 属性 中 存储 索引 节点 编号 0, 此 时 文件 夹 记录 属于 第 三 种 情况 。 

(4) 当 用 户 在 文件 夹 中 再 存放 一 些 文件 ( 夹 ) ,一 个 索引 节点 无 法 存储 时 ,NTFS 再 申请 一 
个 索引 节点 或 者 两 个 索引 节点 。 将 文件 ( 夹 ) 名 存储 在 各 索引 节点 中 ,各 索引 节点 所 在 簇 号 由 
AOH 属性 中 的 数据 运行 列表 来 确定 ,各 个 索引 节点 的 状态 由 BOH 属性 值 加 以 标识 。 在 90H 
属性 存储 一 个 索引 文件 ( 夹 ) 名 和 两 个 索引 节点 号 ,或 者 存储 两 个 索引 文件 ( 夹 ) 名 和 3 个 索引 
节点 号 ,或 者 存储 3 个 索引 文件 ( 夹 ) 名 和 4 个 索引 节点 号 等 等 , 即 在 90H 属性 中 存储 B 一 树 
的 根 节点 ,此 时 文件 夹 记录 属于 第 四 种 情况 。 

(5) 当 用 户 在 文件 夹 中 再 存放 一 些 文件 ( 夹 ) ,在 90H 属性 中 无 法 存储 索引 文件 名 和 索引 节 
点 号 时 ,NTFS 会 再 申请 一 个 索引 节点 ,将 90H 属性 中 所 存储 的 索引 文件 ( 夹 ) 名 和 索引 节点 号 移 
动 到 一 个 索引 节点 中 ,并 将 该 索引 节点 号 存放 在 90H 属性 中 ,此 时 文件 夹 记录 属于 第 五 种 情况 。 

(6) 当 用 户 将 文件 夹 中 的 所 有 文件 ( 夹 ) 删 除 ,并 清空 回收 站 后 ,文件 夹 记录 属于 第 六 种 
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情况 。 
读者 在 研究 文件 夹 记录 的 属性 时 ,要 分 清楚 文件 夹 记录 属于 哪 种 情况 ,这 样 才 能 正确 地 理 
解 和 掌握 文件 夹 记录 的 基本 结构 与 特点 。 


6.3.5 A0H 属性 


当 文件 夹 中 存储 的 文件 ( 夹 ) 数 量 非常 少时 ,文件 夹 中 的 所 有 文件 ( 夹 ) 名 都 存储 在 文件 夹 
记录 的 90H 属性 中 ,90H 属性 是 该 文件 夹 记录 的 最 后 一 个 属性 ; 当 文 件 夹 中 的 文件 ( 夹 ) 数 量 
不 断 ,90H 属性 无 法 存储 时 ,NTFS 将 会 在 90H 属性 后 增加 一 个 AoH 属性 和 一 个 BOH 属性 ， 
除 个 别 情况 外 ,A0H 属性 后 必然 是 BOH 属性 ; 也 就 是 说 ,在 文件 夹 记录 中 ,AOH 属性 和 BOH 
属性 总 是 成 对 出 现 。 

AOH 属性 的 数据 运行 列表 存储 着 组 成 B 一 树 结构 所 有 索引 节点 的 簇 号 信息 , 它 总 是 非常 
驻 有 属性 名 属性 ,其 属性 体 的 位 置 由 属性 头 中 的 数据 运行 列表 来 确定 ,数据 运行 列表 含义 与 文 
件 记录 80H 属性 的 数据 运行 列表 的 基本 含义 相同 。 

例 6.22 在 例 6. 21 中 ,260 号 记录 的 90H 属性 .A0H 属性 和 BOH 属性 如 图 6.41 所 示 ， 
90H 属性 说 明 见 表 6. 37 所 列 ,而 AOH 属性 说 明 见 表 6.38 所 列 。 


表 6.38 260 号 记录 的 A0H 属性 


字 节 | 字 节 值 
& x 
偏 移 | 数 | 十 进 制 | 十 六 进 制 | 存储 形式 
OX000 | 4 160 A0 A0 00 00 00 | AOH 属性 
OX004 | 4 80 50 50 00 00 00 | AOH 属性 头 长 度 为 0X50 字 节 
OX008 | 1 1 1 01 此 处 为 01, 即 表示 非常 驻 
OX009 | 1 4 4 04 属性 名 长 度 为 4 个 Unicode fB 
OXOOA | 2 64 40 40 00 名 称 偏 移 地 址 为 0X40 
OXo0C | 2 0 0 00 00 没有 压缩 .加密 、 稀 政 
0X00E | 2 1 1 01 00 标识 ID 为 03 
OX010 | 8 0 0 TR 开始 VCN X 0X00 
00 00 00 00 
0X018 | 8 11 B SEON 结束 VCN 为 0X0B 
00 00 00 00 
0X020 | 2 7 48 48 00 数据 运行 列表 偏 移 地 址 为 0X48 
0X022 | 2 0 0 00 00 压缩 引擎 号 为 0 
0X024 | 4 0 0 00 00 00 00 | 填充 0 
00 C0 00 00 
0X028 | 8 49152 C000 Saasen d 为 索引 文件 分 配 的 大 小 为 0XC000 字 节 
0X030 | 8 49152 C000 SOE TORON 实际 索引 文件 的 大 小 为 0XC000 字 节 
00 00 00 00 
0X038 | 8 49152 C000 Nd 索引 文件 已 初始 化 的 大 小 为 0XC000 字 节 
00 00 00 00 
24 00 49 00 
0X040 | 8 a 属性 名 为 $I30, 即 索引 为 文件 名 索引 
0X048 数据 运行 列表 : 21 0C 5C 61 00 11 48 C8 
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从 260 号 记录 可 知 ,在 90H 属性 中 没有 存储 a80 文件 夹 中 的 任何 文件 名 ,只 存储 了 一 个 
索引 节点 号 07, 对 260 号 记录 的 A0H 属性 分 析 见 表 6.38 所 列 。 
从 图 6. 41 可 知 ,260 号 记录 A0H 属性 的 数据 运行 列表 为 “21 0C 5C 61 00 11 48 C8”; 其 
中 :“00 11 48 C8” 为 无 用 数据 ; 260 号 记录 A0H 属性 数据 运行 列表 说 明 见 表 6. 39 所 列 。 
表 6.39 260 号 记录 A0H 属性 的 数据 运行 列表 结构 含义 表 


FARS ARRS 所 占 复数 
序号 数据 运行 列表 
十 六 进 制 | 十 进 制 | 十 六 进 制 | 十 进 制 | 十 六 进 制 | 十 进 制 
1 21 oC 5C 61 615C 24924 6167 24935 0C 12 
M H # NTFS_DBR 可 知 , 一 个 簇 等 于 8 个 扇 区 ,所 以 索引 节点 编号 为 0、1、2、3、4、5 等 。 


260 号 记录 A0H 属性 体 的 LCN 和 VCN 对 应 关系 见 表 6.40 所 列 。 
表 6.40 260 号 记录 A0H 属性 体 的 LCN 与 VCN 对 应 关系 表 


LCN/VCN 簇 号 = Lk L RI L 32 La 
UEN 十 六 进 制 | 615C 615D 615E | + 6164 6165 6166 6167 
É 十 进 制 24924 | 24925 | 24926 | =e. 24932 | 24933 | 24934 | 24935 
六 0 1 2 | eee 8 9 A B 
e 十 六 进 制 
十 进 制 0 1 2 | eem 8 9 10 1i 


在 a80 文件 夹 中 存放 的 200 个 文件 ,分 别 存储 在 24924 号 簇 ( 即 VCN 为 0) 至 24934 号 簇 
( 即 VCN 为 10) 中 ; 而 在 90H 属性 中 存储 的 索引 节点 号 为 7, 从 A0H 属性 中 通过 数据 运行 列 
表 可 以 计算 出 LCN、VCN 和 索引 节点 号 的 对 应 关系 , 见 表 6. 41 所 列 。 


表 6.41 a80 文件 夹 各 索引 节点 存储 的 文件 名 情况 表 
LCN VCN 索引 节点 号 存储 的 文件 名 节点 类 型 节点 状态 


24924 0 0 a000. txt—a018. txt 叶 节 点 已 使 用 
24925 1 1 a020. txt 一 a038. txt 叶 节 点 已 使 用 
24926 2 a040. txt 一 a058. txt 叶 节 点 已 使 用 
24927 8 3 a060. txt—a078. txt 叶 节 点 已 使 用 
24928 4 4 a080. txt—a098. txt 叶 节 点 已 使 用 
24929 Š 5 a100. txt—a118. txt 叶 节 点 已 使 用 
24930 6 6 al20. txt—a138. txt 叶 节 点 已 使 用 
a019. txt,a039. txt,a059. txt, 
24931 7 7 a079. txt,a099. txt,a119. txt, 非 叶 节点 已 使 用 
al39. txt,al59. txt,al79. txt 
24932 8 8 al40. txt~al58. txt 叶 节 点 已 使 用 
24933 9 9 al60. txt~al78. txt 叶 节 点 已 使 用 
24934 10 10 al80. txt~al99. txt 叶 节 点 已 使 用 


24935 11 未 使 用 
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6.3.6 BOH 属性 


BOH 属性 即位 图 属性 ,由 属性 头 和 属性 体 组 成 ,属性 体 是 由 一 系列 二 进 制 位 所 构成 的 分 
配 单元 使 用 情况 位 图 表 , 每 1 位 代表 1 个 分 配 单元 的 状态 。 如 果 该 位 的 值 为 0, 表示 所 对 应 分 
配 单元 未 使 用 ( 即 未 分 配 ); 如 果 该 位 的 值 为 1, 表示 所 对 应 分 配 单元 已 使 用 ( 即 已 分 配 ) 。 

该 属性 目前 主要 使 用 在 两 个 地 方 , 即 元 文件 $ MFT 的 0 号 记录 和 部 分 文件 夹 记录 中 。 

元 文件 $ MFT 在 NTFS 卷 的 位 置 已 经 由 0 号 记录 80H 属性 的 数据 运行 列表 所 确定 ,在 
位 图 文件 $ Bitmap 中 ,元 文件 $ MFT 所 占 簇 号 对 应 的 位 图 值 为 1。 而 元 文件 $MFT 的 0 号 
记录 BOH 属性 则 是 NTFS 文件 系统 对 元 文件 $ MFT 以 记录 为 分 配 单元 进行 的 再 分 配 位 图 ; 
在 元 文件 $ MFT 的 0 号 记录 BOH 属性 体 中 ,每 1 位 代表 元 文件 $ MFT 的 1 条 记录 的 状态 。 
如 果 该 位 的 值 为 0, 表示 该 位 所 对 应 的 记录 号 未 使 用 ( 即 未 分 配 ); 如 果 该 位 的 值 为 1, 表 示 该 
位 所 对 应 的 记录 号 已 使 用 ( 即 已 分 配 )。 由 于 元 文件 $ MFT 的 记录 数量 比较 多 ,所 以 ,元 文件 
$ MFT 的 0 号 记录 BOH 属性 总 是 非常 驻 属性 ,其 属性 体 一 般 存 放 在 元 文件 $MFT 的 0 号 记 
录 之 前 ,在 WinHex Hit H“ $ MFT: $ Bitmap”。 有 关 元 文件 $MFT 的 0 号 BOH 属性 在 本 
章 6.5.1 节 中 还 将 进一步 详细 介绍 。 

在 部 分 文件 夹 记录 中 ,BOH 属性 和 AOH 属性 总 是 成 对 出 现 ,BOH 属性 一 般 位 于 AOH 属 
性 之 后 ; 文件 夹 占用 NTFS 卷 的 位 置 由 文件 夹 记录 A0H 属性 中 的 数据 运行 列表 确定 ,在 位 图 
文件 $ Bitmap 中 ,文件 夹 所 占 簇 号 位 图 的 值 为 1。 而 文件 夹 记录 BOH 属性 是 NTFS 对 文件 
夹 以 索引 节点 为 分 配 单元 的 再 分 配 位 图 ; 在 文件 夹 记录 BOH 属性 体 中 ,每 1 位 代表 1 个 索引 
节点 的 使 用 情况 ; 如 果 该 位 的 值 为 0, 表示 该 位 所 对 应 的 索引 节点 未 使 用 ( 即 未 已 分 配 ); 如 果 
该 位 的 值 为 1, 表示 该 位 所 对 应 的 索引 节点 已 使 用 ( 即 已 分 配 )。 由 于 文件 夹 的 索引 节点 一 般 
比较 少 ,一 般 情况 下 ,文件 夹 记录 的 BOH 属性 总 是 常 驻 有 属性 名 属性 。 


6.4 文件 和 文件 夹 记录 不 常用 属性 


在 元 文件 $MFT 的 文件 ( 夹 ) 记 录 中 ,20H、40H、50H、60H、70H、COH、DOH、E0H 和 
100H 很 少 使 用 。 


6.4.1 20H 属性 


20H 属性 ($ ATTRIBUTE_LIST) 即 列表 属性 。 在 元 文件 $ MFT 中 一 个 文件 或 文件 夹 
的 记录 大 小 为 1KB( 即 1024 r); 当 一 条 记录 不 足以 描述 一 个 文件 或 文件 夹 的 基本 信息 , 需 
要 两 条 以 上 的 记录 来 描述 时 , 则 需要 用 20H 属性 来 描述 文件 的 属性 列表 。 在 文件 或 文件 夹 记 
录 中 20H 属性 很 少见 ,但 有 如 下 4 种 情况 使 系统 可 能 需要 20H 属性 : 

第 一 种 情况 : 文件 或 文件 夹 有 很 多 的 硬 连 接 ( 即 有 很 多 的 文件 名 属性 存在 ); 

第 二 种 情况 : 文件 有 很 多 的 碎片 ,以 至 于 1 条 文件 记录 存储 不 下 这 么 多 的 数据 运行 列表 ; 

第 三 种 情况 : 属性 中 有 很 复杂 的 安全 描述 ; 

第 四 种 情况 : 属性 中 有 很 多 的 命名 流 , 如 : 数据 流 。 

如 果 某 记录 有 20H 属性 ,20H 属性 位 于 10H 属性 之 后 , 它 包括 不 同 长 度 的 记录 ,用 于 描 
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述 该 文件 或 文件 夹 其 他 属性 的 类 型 和 位 置 ,20H 属性 可 以 是 常 驻 的 ,也 可 以 是 非常 驻 的 ,没有 
最 大 最 小 尺寸 限制 ,20H 属性 类 型 在 元 文件 $ AttrDef 中 有 描述 。 


6.4.2 40H 属性 


40H 属性 即 $ OBJECT_ID 属性 ,也 就 是 对 象 ID, 它 是 从 Windows 2000 开始 引入 的 属 
性 ,每 一 条 $ MFT 记录 都 被 指定 唯一 的 一 个 GUID, 记 录 还 可 能 包含 有 一 个 所 属 卷 D、 原 始 
对 象 ID 或 域 ID, 这 些 都 属于 GUID, 在 NTFS 文件 系统 中 包含 有 一 个 所 提供 的 API 就 是 通过 
这 些 ID 对 文件 进行 访问 ,记录 属性 最 大 不 超过 256 字 节 。40H 属性 体 绝 大 多 数 只 有 16 字 节 ， 
也 就 是 只 有 一 个 全 局 ID( 即 对 象 ID) ,如 果 原 始 卷 ID、 原 始 对 象 ID 和 域 ID 没有 被 使 用 , 它 也 
有 可 能 在 属性 中 占用 了 空间 ,但 是 其 值 可 能 是 0。 


6.4.3 50H 属性 


50H 属性 即 $ SECURITY_DESCRIPTOR 属性 ,也 就 是 安全 描述 属性 ; 主要 用 于 保护 文 
件 以 防止 没有 授权 的 访问 。 它 总 是 常 驻 无 属性 名 属性 ,50H 属性 结构 , 见 表 6. 42 所 列 。 
表 6.42 50H 属性 结构 


结 构 & x 
常 驻 无 属性 名 属性 头 占 24 字 节 
50H 属性 特有 的 属性 头 可 变 结构 的 偏 移 
审核 ACL ACE SID 由 一 些 包含 审核 信息 的 ACE 构成 
ACE SID 
权限 ACL ACE SID 由 授予 的 每 个 组 或 用 户 权 限 的 ACE 构成 
ACE SID 
用 户 SID 对 象 所 有 者 
组 SID 对 象 所 有 者 


说 明 : 

(1) 在 常 驻 无 属性 名 属性 头 之 后 是 一 个 50H 属性 特有 的 属性 头 , 其 后 跟着 一 个 或 两 个 访 
问 控制 列表 ACL(Access Control List) 和 两 个 安全 标识 符 SID(Security Identifier) 。 

(2) ACL 即 访问 控制 列表 , 它 赋 予 或 拒绝 特定 用 户 或 组 访问 某 个 对 象 的 权限 ,只 有 某 个 
对 象 的 所 有 者 才 可 以 更 改 ACL 中 赋予 或 拒绝 的 权限 ,这 样 此 对 象 的 所 有 者 就 可 以 自由 访问 
该 对 象 。 

(3) SID 即 安全 标识 符 , 它 是 用 来 识别 用 户 、 组 和 计算 机 账户 的 不 同 长 度 的 数据 结构 。 在 
第 一 次 创建 该 账户 时 ,将 给 网 络 上 的 每 一 个 账户 发 布 一 个 唯一 的 SID。Windows 中 的 内 部 进 
程 将 引用 账户 的 SID 而 不 是 账户 的 用 户 名 或 组 名 。 

(4) 第 一 个 ACL 包括 审核 信息 , 即 访问 对 象 时 要 审核 的 组 和 用 户 账户 ,但 也 可 能 没有 ; 
第 二 个 ACL 包括 权限 , 即 授予 的 每 个 组 或 用 户 的 权限 、 每 个 访问 事件 的 成 功 或 失败 属性 。 

(5) ACE(Access Control Entry) 即 访问 控制 项 , 它 是 授予 用 户 或 组 权限 的 ACL 中 的 一 
个 项 目 。ACE 也 是 对 象 的 系统 访问 控制 列表 (SACL) 中 的 项 目 , 该 列表 指定 用 户 或 组 要 审核 
的 安全 事件 ,每 一 个 ACE 包括 一 个 SID。 
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(6) 每 一 个 ACL 可 能 包括 一 个 或 多 个 ACE(Access Control Entry). 

(7) SACL 是 表示 部 分 对 象 的 安全 描述 符 的 列表 ,该 安全 描述 符 指定 了 每 个 用 户 或 组 的 
哪个 事件 被 审核 。 审 核 事 件 的 例子 是 文件 访问 、 登 录 尝 试 和 系统 关闭 。 

(8) 最 后 两 个 SID 表示 对 象 的 所 有 者 , 即 用 户 和 组 。 

为 防止 对 文件 的 未 经 授权 的 访问 ,安全 描述 必须 存储 文件 所 有 者 、 文 件 所 有 者 授予 其 他 用 
户 的 访问 许可 、 什 么 行为 需要 日 志 ( 审 核 ) 等 信息 。 该 属性 没有 最 大 最 小 长 度 的 要 求 。 见 参考 
文献 [2,303-304]。 


6.4.4 60H 属性 


60H 属性 即 $ VOLUME_NAME 属性 ,该 属性 仅 存 在 于 元 文件 $ MFT 的 3 号 记录 中 。 
该 属性 描述 卷 名 , 它 最 小 占 2 字 节 ,最 大 占 256 字 节 ,所 以 卷 名 最 长 为 127 个 Unicode 码 ,该 属 
性 的 结构 比较 简单 , 除 具 有 标准 属性 头 外 ,再 加 上 卷 名 , 卷 名 以 Unicode 码 存 储 , 卷 名 长 度 存储 
在 标准 属性 头 中 。 卷 的 序列 号 存储 在 元 文件 $ Boot 中 ,60H 属性 结构 见 表 6. 43 所 列 。 


表 6.43 60H 属性 结构 


字 节 偏 移 字 节 数 & x 字 节 偏 移 字 节 数 & x 
0X00 4 ”属性 类 型 (60H, 对 象 ID 属性 0XOE 2 标识 
0X04 4 AREKE 0X010 4 ”属性 体 长 度 , 除 2 为 卷 名 的 长 度 
0X08 1 ， 是 否 为 常 驻 标志 ,此 处 为 00, 即 常 驻 | 0X014 2 ”属性 内 容 开 始 偏 移 
0X09 1 ”属性 名 长 度 0X016 1 ”索引 标志 
OXOA 2 ”属性 名 偏 移 0X017 1 ”填充 
0X0C 2 WEE mE BE) 0X018 L ### (Unicode fB) 


例 6.23 元 文件 $MFT 的 3 号 记录 , 即 $Volume 卷 记 录 的 60H 属性 如 图 6. 44 所 示 ,说 
明 见 表 6.44 所 列 。 
Offset 01234567 89ABCD E F 
OA5AB560 60 00 00 00 28 00 00 00 y sn 
OA5AB570 00 00 18 00 00 00 04 00 OE 00 00 00 18 00 00 00 ................ 
OA5AB580 61 00 31 00 32 00 33 00 34 00 35 00 36 00 05 00 a. 1.2.3. 4.5.6... 


图 6.44 元 文件 $ MFT 的 3 号 记录 60H 属性 


表 6.44 元 文件 $MFT 的 3 号 记录 60H 属性 说 明 


字 节 | 字 节 ti Š 
& A 
偏 移 | 数 | 十 进 制 | 十 六 进 制 | 存储 形式 
OX000 | 4 96 60 60 00 00 00 | 属性 类 型 (60H ,对象 ID 属性 ) 
OX004 | 4 40 28 28 00 00 00 | 记录 长 度 为 0X28 字 节 
0X008 | 1 0 0 00 常 驻 
0X009 | 1 0 0 00 属性 名 长 度 为 0, 没有 属性 名 
OX00A | 2 24 18 18 00 没有 属性 名 ,此 值 无 意义 
OX00C | 2 0 0 00 00 没有 压缩 ,加 密 、 稀 朴 等 
OXOOE | 2 4 4 04 00 标识 
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续 表 
字 节 | 字 节 值 a 
偏 移 | 数 | 十 进 制 | 十 六 进 制 | 存储 形式 
0X010 | 4 14 0E OE 00 0000 | 属性 体 长 度 为 0XOE 字 节 
OX014 | 2 24 18 18 00 属性 内 容 开 始 偏 移 0X0018 
OX016 | 1 0 0 00 索引 标志 为 0 
0X017 | 1 0 0 0 填充 为 0 
0X018 | 14 卷 名 为 a123456 


6.4.5 70H 属性 


70H 属性 即 $ VOLUME_INFORMATION 卷 信息 属性 ,该 属性 仅 存 在 于 元 文件 $ MFT 
的 3 号 记录 中 ,该 属性 描述 卷 的 版 本 和 状态 。 其 属性 长 度 为 12 字 节 (实际 占 了 16 字 节 ,属性 
的 长 度 为 8 的 倍数 )。70H 属性 结构 见 表 6.45 所 列 。 


表 6.45 70H 属性 结构 


字 节 偏 移 字 节 数 & x 
0X000 4 属性 类 型 (70H, 对 象 ID 属性 ) 

0X004 4 该 属性 长 度 

0X008 1 是 否 为 常 驻 标志 ,此 处 为 00, 即 常 驻 
0X009 1 属性 名 长 度 ,00 表示 没有 属性 名 

0X00A 2 属性 名 偏 移 

0X00C 2 REER IN 8 Fü 38) 

0X00E 2 标识 

0X010 4 属性 体 长 度 (L), 除 以 2 为 卷 名 的 长 度 
0X014 2 属性 体 开 始 偏 移 

0X016 1 索引 标志 

0X017 1 填充 

0X018 8 总 为 0 

0X020 2 主 版 本 号 和 次 版 本 号 。 操 作 系统 所 使 用 的 NTFS 版 本 号 为 : Windows NT 


使 用 NTFS1. 2; Windows 2000 使 用 NTFS 3. 0; Windows XP, Windows 
2003、Windows Vista, Windows 7 使 用 NTFS 3. 0 

0X022 z 标志 。0X0001 为 坏 区 标志 ,0X0002 为 调整 日 志文 件 大 小 ,0X0004 为 更 新 
装载 ,0X0008 为 装载 NT4,0X0010 为 删除 进行 中 的 USN,0X0020 为 修复 
对 象 ID,0X8000 为 用 CHKDSK 修正 

OX024 4 总 为 0 


例 6.24 元 文件 $MFT 的 3 号 记录 , 即 $ Volume 卷 记录 的 70H 属性 如 图 6. 45 所 示 ,说 
明 见 表 6. 46 所 列 。 
Offset 01234567 89ABCDEF 
OA5AB590 70 00 00 00 28 00 00 00 00 00 18 00 00 00 05 00 p...(........... 
OA5AB5A0 OC 00 00 00 18 00 00 00 00 00 00 00 00 00 00 00 
OA5AB5BO 03 01 00 00 00 00 0000 ue 


图 6.45 元 文件 $ MFT 的 3 号 记录 70H 属性 


表 6.46 TXH $ MFT 的 3 号 记录 70H 属性 说 明 


字 节 | 字 节 t ARE 
偏 移 | 数 | 十 进 制 | 十 六 进 制 | 存储 形式 
0X000 | 4 112 70 70 00 00 00 | 70H 属性 
OX004 | 4 40 28 28 00 00 00 | 属性 长 度 为 0X28 字 节 
0X008 i] 0 0 00 常 驻 
0X009 | 1 0 0 00 00: 没有 属性 名 
OX00A| 2 24 18 18 00 属性 名 的 偏 移 , 无 属性 名 此 值 无 意义 
OX00C | 2 0 0 00 00 没有 压缩 .加密 、 稀 朴 等 
OXOOE | 2 5 5 05 00 标识 为 5 
0X010 | 4 12 0C OC 00 0000 | 属性 体 长 度 为 0XOC 字 节 
OX014 | 2 24 18 18 00 属性 体 开 始 偏 移 为 0X0018 
OX016 | 1 0 0 00 索引 标志 为 0 
0X017 | 1 0 0 0 填充 为 0 
00 00 00 00 

0X08 | 8 0 0 diod odo 总 为 0 
awal 2 SQ) .. 3, 次 版 本 号 为 1, 所 以 NTFS 版 本 号 
0X022 | 2 0 0 00 00 标志 为 0 

总 为 0, 因 为 卷 信 息 占 12 字 节 ,而 属性 长 度 为 8 的 
0X024 | 4 0 0 00 00 00 00 倍数 ,所 以 多 余 的 4 字 节 填充 0 


6.4.6 COH 属性 


COH 属性 即 重 解析 点 属性 ( $ Reparse_Point) ,该 属性 没有 最 小 字 节 的 限制 ,但 有 最 大 字 
节 数 的 限制 ,其 最 大 字 节 数 为 16 384 字 节 。 文 件 或 文件 夹 可 以 包含 一 个 重 解 析 点 (用 户 定义 
数据 的 集合 ) 。 存 储 数据 的 程序 和 文件 系统 过 滤器 可 以 理解 这 种 数据 格式 ,所 安装 的 这 些 程序 
和 过 滤器 用 于 解释 数据 并 处 理 文件 。 程 序 设置 重 解析 点 时 , 它 会 存储 该 数据 和 唯一 标识 所 存 
储 数据 的 重 解析 标记 。 当 文件 系统 打开 带 有 重 解析 的 文件 时 ,试图 找到 与 重 解析 标记 标识 的 
数据 格式 相 联系 的 文件 系统 过 滤器 。 如 果 找 到 了 这 样 的 文件 系统 过 滤器 ,过 滤器 将 在 重 解析 
数据 的 指导 下 处 理 文件 ; 否则 打开 文件 的 操作 将 会 失败 。 


6.4.7 DOH 属性 
DOH 属性 即 扩充 属性 信息 属性 ($ Ea_Information), 它 是 为 了 在 NTFS 下 实现 用 于 


HPFS 的 OS/2 子 系统 信息 及 Windows NT 服务 器 的 OS/2 客户 端 应 用 而 设置 的 扩展 属性 。 
由 于 其 数据 流 可 以 增长 ,所 以 该 文件 属性 可 能 为 非常 驻 属 性 。 
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6.4.8 ”EOH 属性 


EoH 属性 即 扩展 属性 ($ Ea), CMTE NTFS 下 实现 HPFS。 由 于 其 数据 流 可 以 增长 ， 
所 以 该 文件 属性 可 能 为 非常 驻 属性 。 该 属性 没有 最 小 字 节 数 限制 ,但 有 最 大 字 节 数 的 限制 ,其 
最 大 字 节 数 为 65 536 字 节 ,扩展 属性 由 “名 称 ” 和 “ 值 ” 成 对 组 成 。 


6.4.9 100H 属性 


100H 属性 即 EFS 加 密 属性 ($ Logged_Utility_Stream) ,该 属性 主要 用 于 存储 实现 EFS 
加 密 的 有 关 加 密 信息 。 如 : 合法 用 户 列表 、 解 码 密 钥 等 。 正 如 $AttrDef 所 定义 ,该 属性 没有 
最 小 字 节 数 限制 ,但 最 大 只 能 到 65 536 FH. 


6.5 NTFS 文件 系统 的 元 文件 


NTFS 文件 系统 由 元 文件 ,用户 文件 .文件 夹 以 及 数据 组 成 。NTFS 系统 中 将 一 些 重要 的 
信息 以 文件 的 形式 进行 存储 ,存储 这 些 重 要 信息 所 对 应 的 文件 就 是 元 文件 。 在 NTFS 元 文件 
中 最 重要 的 元 文件 就 是 $ MFT。 文 件 最 终 通过 元 文件 $ MET 对 应 记录 来 确定 其 在 NFTS 卷 
上 的 位 置 。 元 文件 $ MFT 是 一 个 数据 库 , 由 许 许多 多 记录 组 成 。 在 NTFS 文件 系 统 卷 中 ,每 
一 个 文件 或 者 文件 夹 都 有 一 个 记录 号 ,记录 号 从 0 开始; 其 中 : 0 号 文件 记录 称 作 基本 文件 记 
录 , 也 就 是 $MFT 本 身 ,在 该 文件 中 存储 着 其 他 元 文件 和 扩展 文件 记录 的 信息 。 在 元 文件 
$ MFT 中 ,每 条 的 记录 大 小 是 固定 的 ,不 论 簇 的 大 小 是 多 少 , 均 为 1KB( 注 : 元 文件 $ MFT 中 
的 每 条 记录 大 小 在 NTFS_DBR 中 有 描述 )。 其 中 : 前 12 条 记录 (记录 号 从 0 至 11) 是 NTFS 
文件 系统 中 非常 重要 的 元 文件 记录 。 除 根 目录 ( 根 目录 的 名 称 为 “.”) 外 ,其 他 元 文件 的 名 称 均 
以 “$ ”符号 开头 ,元 文件 是 隐藏 的 系统 文件 ,用 户 不 能 直接 对 元 文件 进行 访问 。 下 面 分 别 对 
NTFS 文件 系统 的 元 文件 进行 介绍 。 


6.5.1 元 文件 $MFT 


$ MFT 是 NTFS 文件 系统 最 重要 的 元 文件 , 它 是 所 有 元 文件 .用 户 文件 和 文件 夹 的 集 
合 。 在 NTFS 的 卷 中 , 卷 上 的 所 有 信息 都 是 以 文件 的 形式 存储 。 在 本 章 6. 1 节 已 经 介绍 过 ， 
在 NTFS 文件 系统 中 ,有 12 个 非常 重要 的 元 文件 。 第 1 个 元 文件 也 就 是 $ MFT, 它 在 元 文件 
$ MFT 自身 中 对 应 的 记录 号 为 0( 即 文件 ID 为 0)。 一 般 情况 下 ,元 文件 $MFT 的 0 号 记录 
( 即 描述 的 是 元 文件 $MFT 自身 基本 情况 ) 由 记录 头 .4 个 属性 .记录 结束 标志 和 无 用 数据 
组 成 。 

例 6.25 H 盘 的 元 文件 $MFT, 在 元 文件 $ MFT 自身 中 的 记录 号 为 0, 如 图 6.46 所 示 。 

从 图 6. 46 可 知 ,元 文件 $MFT 的 0 号 记录 由 记录 头 、10H 属性 .30H 属性 .80H 属性 、 
BOH 属性 ,记录 结 束 标志 和 无 用 数据 组 成 ,元 文件 $MFT 的 0 号 记录 说 明 如 下 。 


@ 大 话 数据 恢复 


Offset 01234567 8 9ABCDEF 
06300000 46 49 4C 45 30 00 03 00 F4 54 64 00 00 00 00 00 
06300010 01 00 01 00 38 00 01 00 98 01 00 00 00 04 00 00 
06300020 00 00 00 00 00 00 00 00 06 00 00 00 00 00 00 00 
06300030 
06300040 


00 00 17 it £ w: 
Ñ J) v 89.) v 88? 
-av 889.) v 389? 


050 
用 该 值 *00 00* 蔡 换 地 址 
063001FE~063001FF 的 *13 00” 


2E 29 A3 F6 E3 61 DO 01 
00 00 00 00 00 00 00 00 


06300080 00 00 00 00 00 01 00 00 00 00 00 00 00 00 00 00 
06300090 00 00 00 00 00 00 00 00 30 00 00 00 68 00 00 00 
063000A0 00 00 18 00 00 00 03 00 4A 00 00 00 18 00 01 00 
063000B0 05 00 00 00 00 00 05 00 2E 29 A3 F6 E3 61 DO 01 
063000C0 2E 29 A3 F6 E3 61 DO 01 2E 29 A3 F6 E3 61 DO 01 
063000D0 2E 29 A3 F6 E3 61 DO 01 00 40 00 00 00 00 00 00 .)N0892.0...... 
063000E0 00 40 00 00 00 00 00 00 06 00 00 00 00 00 00 00 
063000F0 04 03 24 00 4D 00 46 00 54 00 00 00 00 00 00 00 
06300100 80 00 00 00 48 00 00 00 01 00 40 00 00 00 01 00 
06300110 00 00 00 00 00 00 00 00 3F OF 00 00 00 00 00 00 
06300120 40 00 00 00 00 00 00 00 00 00 F4 00 00 00 00 00 
06300130 00 00 F4 00 00 00 00 00 00 00 F4 00 00 00 00 00 
06300140 22 40 OF 00 63 00 AC 92 BO 00 00 00 48 00 00 00 
06300150 Q1 00 40 00 00 00 05 00 00 00 00 00 00 00 00 00 
06300160 01 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 
06300170 00 20 00 00 00 00 00 00 08 10 00 00 00 00 00 00 
06300180 08 10 00 00 00 00 00 00 21 01 FF 62 11 01 FF 00 
06300190 00 00 04 00 00 00 00 00 


00 00 00 00 00 
00 48 00 00 00 


21 40 00 63 00 01 68 BC 
01 00 40 00 00 00 05 00 


063001A0 00 00 一 A 
0630 


063001C0 00 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 
063001D0 40 00 00 00 00 00 00 00 00 20 00 00 00 00 00 00 
063001E0 08 10 00 00 00 00 00 00 08 10 00 00 00 00 00 00 
063001F0 21 01 FF 62 11 01 FF 00 FF FF FF FF 00 00 13 00 
(省 略 部 分 为 全 00) 
063003F0 00 00 00 00 00 00 00 00 00 00 00 00 00 001300 _................ 


6.46 元 文件 $MFT 的 0 号 记录 


A) 元 文件 $ MFT 的 0 号 记录 的 记录 头 说 明 见 表 6.47 所 列 。 


表 6.47 元 文件 $MFT 的 0 号 记录 头 说 明 


字 节 | 字 节 值 A 

偏 移 | 数 | 十 进 制 | 十 六 进 制 | 存储 形式 

0X00 46 49 4C 45 | 记录 开始 标志 ,一 定 是 字符 串 “FILE” 
0X04 48 30 30 00 更 新 序列 号 的 偏 移 地 址 为 0X0030 
0X06 š 03 03 00 更 新 序列 号 的 大 小 为 1, 数 组 为 2 
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续 表 
字 节 | 字 节 值 a a 
偏 移 | 数 | 十 进 制 | 十 六 进 制 | 存储 形式 
0X08 8 | 6575348 | 6454F4 06109 日 志文 件 序列 号 为 0X6454F4 
00 00 00 00 
0X10 z 1 01 01 00 该 项 被 使 用 和 删除 的 次 数 为 1 次 
on s i A sioi 1, 即 只 有 一 个 目录 ( 即 根 目 录 ) 指 向 该 
i | = " a Jw A NEMPAS 0X038, B] 10H 属性 偏 移 
0X16 ë 1 1 01 00 01 表示 文件 正在 使 用 ,元 文件 $ MFT 正在 使 用 
pem i a 396 PEET 文件 记录 的 实际 长 度 一 0X0197 — 0X00 + 1 = 
0X0198 
0XIC | 4 1024 400 00 04 文件 记录 的 分 配 长 度 为 1024 字 节 
ox20 | 8 o o | 00000000 | 基本 文件 记录 中 的 文件 索引 号 为 0 
00 00 00 00 
0X28 2 6 6 06 00 下 一 属性 ID 为 6 
OX2A | 2 0 0 00 00 边界 
文件 记录 号 (ID 号 ) 为 0, 即 在 元 文件 $MFT 的 顺 
OX2C | 4 0 0 00 00 00 00 序号 
0X30 2 19 13 13 00 更 新 序列 号 为 0X0013 
0X32 2 0 0 00 00 第 1 扇 区 的 更 新 数组 
0X34 2 0 0 00 00 第 2 扇 区 的 更 新 数组 
(2) 元 文件 $ MFT 的 0 号 记录 10H 属性 ( 即 标准 属性 ?说 明 见 表 6. 48 所 列 。 
表 6.48 元 文件 $MFT 的 0 号 记录 10H 属性 说 明 
字 节 | 字 节 t 
& Xx 备注 
偏 移 | 数 | 十 进 制 | 十 六 进 制 | 存储 形式 
0X38 | 4 16 10 10 00 00 00 | 属性 类 型 
OX3C | 4 96 60 60 00 00 00 | 属性 长 度 为 0X60 字 节 
0X40 1 0 0 00 00: 常 驻 属 性 
0X41 1 0 0 00 00: 无 属性 名 
0x42 | 2 24 18 18 00 ME SME OXIE, EE < it 
意义 
0X44 2 0 0 00 00 表示 不 是 压缩 ,加 密 或 稀 政 10H 
0X46 2 0 0 00 00 标识 为 0 属 
me | 二 moin 属性 内 容 ( 属 性 体 ) 的 长 度 , 即 从 偏 移 地 址 | 性 
0X50 至 0X97 x= 
属性 内 容 开 始 偏 移 , 即 从 0X38 为 开始 地 
址 ,属性 内 容 ( 属 性 体 ) 的 偏 移 为 0X18 ,所 
| > el Be 以 10H 属性 的 内 容 ( 属 性 体 ) 的 偏 移 地 址 
为 0X38 十 0X18 一 X50 
OX4E | 1 0 0 00 索引 标志 ,无 索引 
OX4F 1 0 0 00 填充 


续 表 
字 节 | 字 节 值 
偏 移 | 数 | 十 进 制 | 十 六 进 制 | 存储 形式 
m. a 2E 29 A3 F6 | 元 文件 $ MFT 建立 的 日 期 时 间 为 2015- 
E3 61 DO 01 | 03-19 01:28:11 
pm Š 2E 29 A3 F6 | 元 文件 $ MFT 修改 的 日 期 时 间 为 2015- 
E3 61 DO 01 | 03-19 01:28:11 
pem š 2E 29 A3 F6 | 记录 改变 的 日 期 时 间 为 2015-03-19 01: 
E3 61 DO 01 | 28:11 
oie š 2E 29 A3 F6 | 元 文件 $ MFT 最 后 存 取 的 日 期 时 间 为 
E3 61 DO 01 | 2015-03-19 01:28:11 
a ` š ” BD 元 文件 $ MFT 的 属性 为 隐藏 (0X02)、 系 
统 (0X04) ,组 合 后 的 属性 值 为 X06 
OX74 4 0 0 00 00 00 00 | 最 大 版 本 数 ,为 0 表示 版 本 是 没有 的 
0X78 4 0 0 00 00 00 00 | 分 类 ID( 一 个 双向 的 索引 ) 
所 有 者 ID: 表示 文件 的 所 有 者 ,是 访问 文 体 
0X80 4 0 0 00 00 00 00 | 件 配额 $ Quota 中 $ SQ 索引 的 关键 字 , 如 
果 是 0, 则 表示 没有 设置 配额 
安全 ID: 是 文件 $Secure 中 $SII 索 引 和 
OX84 | 4 256 100 00 01 00 00 $ SDS 数据 流 的 关键 字 
D000 O000 配额 管理 : 配额 占用 情况 , 它 是 文件 所 有 
0X88 8 0 0 流 所 占用 的 总 字 节 数 ,为 0 表示 未 使 用 磁 
00 00 00 00 
盘 配 额 
(SN walas 更 新 序列 号 (USN) : 文件 最 后 的 更 新 序列 
0X90 | 8 0 0 号 , 它 是 进行 元 数据 文件 $ Usnjrnl 直接 
00 00 00 00 


的 索引 ,如 果 是 0, 则 表示 没有 USN 日 志 


(3) 元 文件 $ MFT 的 0 号 记录 30H 属性 ( 即 文件 名 属性 ) 说 明 见 表 6. 49 所 列 。 
表 6.49 TXI $ MFT 的 0 号 记录 30H 属性 说 明 


字 节 | 字 节 ti 2 y 
偏 移 | 数 | 十 进 制 | 十 六 进 制 | 存储 形式 
0X098 | 4 48 30 30 00 0000 | 属性 类 型 
0X09C | 4 104 68 68 00 0000 | 属性 长 度 为 0X68 字 节 
oxoao| 1 0 0 00 00: 常 驻 属性 
0XOA1 | 1 0 0 00 00: 无 属性 名 
OX0A2| 2 24 18 18 00 属性 名 偏 移 为 0X18 ,无 属性 名 ,此 值 无 意义 
OX0A4 | 2 0 00 00 标志 为 00, 没 有 压缩 ,加密 、 稀 朴 等 
OX0A6 | 2 3 3 03 00 标识 为 3 
OX0A8 | 4 74 4A 4A 00 0000 | 属性 体 长 度 为 0X4A 字 节 
属性 体 开 始 偏 移 为 0X018, 由 于 该 30H 属性 开始 
0OXOAC | 2 24 18 18 00 偏 移 在 记录 中 的 偏 移 地 址 为 0X098, 所 以 属性 体 
在 记录 中 的 偏 移 地 址 为 0X098+0X018=0X0B0 
0XOAE| 1 1 1 01 索引 标志 为 1 
0XOAF | 1 0 00 00 填充 为 00 
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续 表 
字 节 | 字 节 值 a 
偏 移 | 数 | 十 进 制 | 十 六 进 制 | 存储 形式 
oxopo | 6 05 00 00 00 | 父 目 录 的 基本 文件 记录 号 为 05, 即 根 目录 的 记录 
00 00 号 。 即 该 元 文件 $ MFT 为 根 目录 下 的 一 个 文件 
OX0B6 | 2 5 05 05 00 序列 号 为 05, 即 根 目录 使 用 或 删除 的 次 数 为 5 次 
ee |. @ 2E 29 A3 F6 | 元 文件 $ MFT 建立 的 日 期 时 间 为 2015-03-19 01; 
E3 61 D0 01 | 28:11 
| -E 2E 29 A3 F6 | 元 文件 $ MFT 修改 的 日 期 时 间 为 2015-03-19 01 
E3 61 D0 01 | 28:11 
2E 29 A3 F6 | 、 

OXoC8 | 8 ee 记录 改变 的 日 期 时 间 为 2015-03-19 01:28:11 
dow E 2E 29 A3 F6 | 元 文件 $ MFT 最 后 存 取 的 日 期 时 间 为 2015-03-19 
E3 61 D0 01 | 01:28:11 

00 40 00 00 
0X0D8 | 8 16384 4000 06 60.00.00 文件 的 分 配 大 小 为 0X4000 字 节 
OXoFO | 8 16384 4000 文件 的 实际 大 小 为 0X4000 字 节 

00 00 00 00 

元 文件 $MFT 的 属性 为 隐藏 (0X02)、 系 统 

Wd i 6 |08000000 | (oxo4) ,组 合 后 的 属性 值 为 X06, 即 隐藏 十 系统 
0XOEC | 4 00 00 00 00 00 00 | EAs( 扩 展 属性 ) 和 Reparse( 重 新 解析 ) 使 用 
0XOF0 | 1 4 4 04 元 文件 $ MFT 文件 名 长 度 为 4 个 Unicode 字符 
OXOF1 | 1 3 3 03 文件 名 命名 空间 为 3 
0OXOF2 | 8 文件 名 为 $MFT, 即 从 偏 移 地 址 0XOF2 一 0XOF9 


(4) 元 文件 $ MFT 的 0 号 记录 80H 属性 说 明 见 表 6. 50 所 列 。 
表 6.50 元 文件 $MFT 的 0 号 记录 80H 非常 驻 属性 说 明 


zø | 字 节 值 
= < 
偏 移 | 数 | 十 进 制 | 十 六 进 制 | 存储 形式 
OX100 | 4 128 80 80 00 00 00 | 属性 类 型 
0X104 | 4 72 48 48 00 00 00 | 80H 属性 长 度 为 0X48 字 节 
0X108 | 1 1 1 01 01: 非常 驻 属性 
0X109 | 1 0 0 00 00: 无 属性 名 
OX10A | 2 64 40 40 00 属性 名 偏 移 为 0X40, 无 意义 
OX10C | 2 0 0 00 00 没有 压缩 ` 加 密 、 稀 政 
OXIOE | 2 1 i 01 00 标识 ID 为 01 
00 00 00 00 
0X110 | 8 0 0 开始 VCN 为 0 
00 00 00 00 
3F OF 00 00 
0X118 | 8 3903 3FOF 结束 VCN 为 0X0F3F 
00 00 00 00 
0X120 | 2 64 40 40 00 数据 运行 列表 偏 移 为 0X40 
0X122 | 2 0 0 00 00 压缩 引擎 号 为 0 
0X124 | 4 0 0 00 00 00 00 | 填充 0 
00 00 F4 00 s. 
0X128 | 8 |15990784 | F40000 系统 分 配给 元 文件 $ MFT 空间 为 0XF40000 S f 
00 00 00 00 
00 00 F4 00 
0X130 | 8 | 15990784 | F40000 E ori 元 文件 $ MFT 实际 占用 空间 为 0XF40000 FH 


@ 大 话 数据 恢复 


续 表 
字 节 | 字 节 值 k J 
偏 移 | 数 | 十 进 制 | 十 六 进 制 | 存储 形式 
ox138 | 8 |15990784| Faoooo | °° °° 元 文件 $ MFT 初始 化 空间 为 0XF40000 字 节 
00 00 00 00 
0X140 数据 运行 列表 : 22 40 OF 00 63 00 AC 92 


元 文件 $ MFT 的 0 号 记录 80H 属性 中 数据 运行 列表 为 : 22 40 OF 00 63 00 AC 92, JẸ 
中 : 00 AC 92 为 无 用 数据 ,其 含义 见 表 6. 51 所 列 。 
表 6.51 元 文件 $ MFT 的 80H 属性 数据 运行 列表 结构 含义 表 


开始 能 号 结束 能 号 所 占 簇 数 
运行 列 
ARENA 十 六 进 制 | 十 进 制 | 十 六 进 制 | 十 进 制 | 十 六 进 制 | 十 进 制 
1 22 40 OF 00 63 6300 25344 723F 29247 OF40 3904 


元 文件 $ MFT 的 LCN 与 VCN 对 应 关系 见 表 6. 52 所 列 , 从 表 6. 52 可 知 , 元 文件 $MFT h 
用 理 盘 的 簇 号 ( 即 LCN) 范 围 为 25344 一 29247, 对 应 的 VCN 范围 为 0 一 3903 ,共计 3904 个 簇 。 


表 6.52 元 文件 $ MFT H LCN 与 VCN 对 应 关系 


R5 开始 pa w I Qua T= F= 结束 
LCN 与 VCN La E5 RG R5 Laa L 
十 六 进 制 6300 6301 602 | =+ 723D 723E 723F 
LCN 
十 进 制 25344 25345 25346 | eee 29245 29246 29247 
VON 十 六 进 制 0 1 2 | ees 0F3D OF3E OF3F 
十 进 制 0 1 2 | + 3901 3902 3903 


(5) 元 文件 $ MFT 的 0 号 记录 BOH 属性 说 明 见 表 6.53 所 列 。 
表 6.53 元 文件 $ MFT 的 0 号 记录 BOH 属性 说 明 


字 节 | 字 节 值 z 
偏 移 | 数 | 十 进 制 | 十 六 进 制 | 存储 形式 
0X148 | 4 176 Bo BO 00 00 00 | 属性 类 型 
0X14C | 4 72 48 48 00 00 00 | BOH 属性 长 度 为 0X48 S 
0X150 | 1 1 i 01 01: 非常 驻 属性 
0X151 | 1 0 0 00 00; 无 属性 名 
0X152 | 2 64 40 40 00 名 称 偏 移 为 0X40, 此 值 无 意义 
OX154 | 2 0 0 00 00 没有 压缩 ` 加 密 、 稀 政 
0X156 | 2 5 5 0500 标识 ID 为 05 
0X158 | 8 0 0 开始 VCN 为 0 
00 00 00 00 
01 00 00 00 
0X160 | 8 1 1 和 结束 VCN 为 1 
OX168 | 2 64 40 40 00 数据 运行 列表 的 字 节 偏 移 为 0X40 
OXl6A | 2 0 0 00 00 压缩 引擎 号 为 0 
OX16C 4 0 0 00 00 00 00 填充 0 
0X170 | 8 8192 2000 20 AOOO 系统 分 配给 位 图 大 小 为 0X2000 字 节 
00 00 00 00 


第 6 章 NTFS 文 件 系统 e 


续 表 

字 节 | 字 节 值 > $ 
偏 移 | 数 | 十 进 制 | 十 六 进 制 | 存储 形式 
0X178 | 8 4104 1008 SE Taon 位 图 实际 大 小 为 0X1008 字 节 

00 00 00 00 
0X180 | 8 4104 1008 PELAR 位 图 初始 化 大 小 为 0X1008 FH 

00 00 00 00 
0X188 | 8 数据 运行 列表 : 21 01 FF 62 11 01 FF 00 


对 于 文件 记录 而 言 ,只 有 元 文件 $ MFT 的 0 号 记录 才 有 BOH 属性 ,在 元 文件 $MFT 的 
BOH 属性 值 中 ,使 用 1 位 来 表示 元 文件 $ MFT 的 1 条 记录 的 状态 。 如 果 该 位 的 值 为 “0”, 表 
示 对 应 元 文件 $ MFT 的 记录 未 分 配 ( 即 未 使 用 ); 如 果 该 位 的 值 为 “1”, 表 示 对 应 元 文件 
$ MFT 的 记录 已 分 配 (已 使 用 )。 

元 文件 $ MFT 的 0 号 记录 BOH 属性 数据 运行 列表 为 :“21 01 FF 62 11 01 FF 00”, 其 含 
义 见 表 6. 54 所 列 。 从 数据 运行 列表 可 知 ,元 文件 $MFT 的 0 号 记录 BOH 属性 值 ( 注 : 在 
WinHex 中 通常 记 作 $ MFT: $ Bitmap) 被 划分 为 两 段 存储 在 H 盘 中 ,占用 2 个 簇 , 即 25343 
和 25342 号 得 ,对 应 的 VCN 为 0 和 1, 在 这 两 个 簇 中 存储 的 数据 见 表 6. 55 所 列 。 


表 6.54 元 文件 $MFT 的 BOH 属性 数据 运行 列表 结构 含义 表 


FRR Br i 8838 
序号 数据 运行 列表 
十 六 进 制 十 进 制 | 十 六 进 制 十 进 制 
1 21 01 FF 62 62FF 25343 1 1 
2 Bl 01 FF 62FF 十 FF 一 62FF 一 01 一 62FE 25342 1 1 


表 6.55 元 文件 $MFT 的 0 号 记录 BOH 属性 值 ($ MFT: $ Bitmap) 内 容 


LCN VCN 逻辑 扇 区 地 址 01234567 89 ABCDEF 


062FF000 | FF FF 00 FF FF FF FF FF FF FF FF FF FF FF FF FF 
202744 | eee o ean QE: 省 略 部 分 全 为 FF) 

062FF1F0 | FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
202745 062FF200 | FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
wes | ( 注 : 省 略 部 分 全 为 FF) 

202746 062FF5F0 | FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
062FF600 | FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
25343 oO ( 注 : 省 略 部 分 全 为 FF) 

062FF780 | FF FF FF FF DF FF F7 FF FF FF FF FF FF 00 00 00 


202747 
062FF790 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
een o an QE: 省 略 部 分 为 全 00) 
062FF7F0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
202748— 062FF800 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
at | ee | a a a QÈ: 省 略 部 分 为 全 00) 


062FFFF0 | 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
202736~ | 062FE000 | 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
25342 1 vo |. | ( 注 : 省 略 部 分 为 全 00) 

062FEFF0 | 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 


& 大 话 数据 恢复 
于 元 文件 $ MFT 对 记录 的 分 配 是 以 1KB 为 单位 ,从 $MFT: $ Bitmap PAT A: 
O 0 一 15 号 记录 已 使 用 , 见 表 6. 56 和 表 6.57 所 列 。 

表 6.56 202744 SARRE 0X00 的 值 及 所 代表 的 记录 


地 址 0X062FF000 (202744 号 扇 区 偏 移 0X00) 
十 六 进 制 值 FF 
二 进 制 位 Bit; Bits Bits Bit, Bit; Bit; Biti Bito 
二 进 制 值 1 1 i 1 1 1 1 1 
对 应 记录 号 7 6 5 4 3 2 1 0 
对 应 文件 ( 夹 ) | $Boot $ Bitmap š $ AttrDef $ Volume $ LogFile $MFTMirr $MFT 
记录 状态 已 使 用 ”已 使 用 已 使 用 已 使 用 已 使 用 已 使 用 已 使 用 已 使 用 


表 6.57 202744 SARRE 0X01 的 值 及 所 代表 的 记录 


地 hk 0X062FF001(202744 号 扇 区 偏 移 0X01) 
十 六 进 制 值 FF 
二 进 制 位 Bit; Bits Bits Bit, Bit; Bit; Bit, Bito 
二 进 制 值 1 1 1 1 i ï 1 
对 应 记录 号 15 14 13 12 11 10 9 8 
对 应 文件 ( 夹 ) $Extend $UpCase $Secure $ BadClus 


记录 状态 已 使 用 ”已 使 用 已 使 用 已 使 用 已 使 用 已 使 用 已 使 用 已 使 用 


© 16 一 23 号 记录 未 使 用 , 见 表 6. 58 所 列 。 
表 6.58 202744 SARRE 0X02 的 值 及 所 代表 的 记录 


地 址 0X062FF002 (202744 号 扇 区 偏 移 0X02) 
十 六 进 制 值 00 
二 进 制 位 Bit; Bits Bit; Bit, Bit; Bit; Bit, Bito 
二 进 制 值 0 0 0 0 0 0 0 0 
对 应 记录 号 23 22 21 20 19 18 17 16 
对 应 文件 ( 夹 ) 
记录 号 状态 | 未 使 用 “未 使 用 “未 使 用 未 使 用 ”未 使 用 ”未 使 用 未 使 用 未 使 用 


@ 24 一 31 号 记录 已 使 用 , 见 表 6.59 所 列 。 
表 6.59 202744 SARRE 0X03 的 值 及 所 代表 的 记录 


地 址 0X062FF003(202744 号 扇 区 偏 移 0X03) 
十 六 进 制 值 FF 
二 进 制 位 Bit; Bits Bit; Bit, Bit; Bitz Bit, Bito 
二 进 制 值 1 1 1 1 1 1 1 1 
对 应 记录 号 31 30 29 28 27 26 25 24 
对 应 文件 ( 夹 ) | $ Tops $Txf $TxfLog $ Repair $ RmMetadata $ Reparse $Objld $ Quota 
记录 状态 已 使 用 已 使 用 已 使 用 已 使 用 已 使 用 已 使 用 ”已 使 用 已 使 用 
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记录 号 在 $ MFT: $ Bitmap 中 的 位 置 由 扇 区 号 、. 扇 区 偏 移 和 字 节 位 3 部 分 组 成 ,其 计算 公 
式 如 式 (6.21) 一 式 (6. 23) 。 
计算 记录 号 在 $MFT: $ Bitmap 中 的 扇 区 号 如 式 (6. 21): 
扇 区 号 王 记录 号 所 在 段 的 开始 扇 区 号 十 INT( 记 录 号 /4096) 一 


INT( 本 段 的 开始 记录 号 /4096) (6; 21) 
计算 记录 号 在 $MFT: $ Bitmap 中 的 扇 区 偏 移 如 式 (6. 22) : 
扇 区 偏 移 = INT(( 记 录 号 一 INT( 记 录 号 /4096) X 4096)/8) (6. 22) 
计算 记录 号 在 $ MFT: $ Bitmap 中 字 节 位 如 式 (6. 23): 
字 节 位 = MOD( 记 录 号 ,8) (6. 23) 


说 明 : ERG. 21) 一 式 (6.23) 中 ,INT 表示 取 整 ,MOD 表示 取 余 数 。 

如 果 元 文件 $ MFT 的 0 号 记录 BOH 属性 有 多 个 数据 运行 列表 ,首先 根据 数据 运行 列表 
计算 出 各 段 的 开始 逻辑 扇 区 号 ; 其 次 要 判断 记录 号 在 哪 一 段 ( 注 : 每 段 的 开始 逻辑 扇 区 号 等 
于 该 段 的 开始 徐 号 乘 以 每 个 簇 的 扇 区 数 )。 

假设 元 文件 $MFT 的 0 号 记录 BOH 属性 有 4 个 数据 运行 列表 , 即 $MFT: $ Bitmap 被 
划分 为 4 个 段 存储 ,计算 这 4 个 段 的 开始 记录 号 和 结束 记录 号 如 式 (6. 24) 一 式 (6. 31): 


第 1 段 开始 记录 号 = 0 (6. 24) 
第 2 段 开始 记录 号 = 第 1 段 所 占 复数 x 每 个 簇 的 扇 区 数 X 4096 (6.25) 
第 3 段 开 始 记录 号 = (第 1 段 所 占 簇 数 十 第 2 段 所 占 复数 ) >< 

每 个 徐 的 扇 区 数 X 4096 (6. 26) 
第 4 段 开始 记录 号 = (第 1 段 所 占 簇 数 十 第 2 段 所 占 复数 十 第 3 段 所 占 复数 ) x 

每 个 能 的 扇 区 数 X 4096 (6.27) 
第 1 段 结束 记录 号 = 第 1 段 所 占 簇 数 x hy" BS 00 p) PC š X 4096 一 1 (6.28) 
第 2 段 结束 记录 号 = (第 1 段 所 占 复数 十 第 2 BUN HIERO X 

每 个 簇 的 扇 区 数 X 4096 — 1 (6.29) 
第 3 段 结束 记录 号 = (第 1 段 所 占 复数 十 第 2 段 所 占 簇 数 十 第 3 BUN HIRO X 

每 个 徐 的 扁 区 数 x 4096 — 1 (6. 30) 
第 4 段 结束 记录 号 = 4 段 所 占 簇 数 之 和 X 每 个 簇 的 扇 区 数 X 4096 一 1 (6. 31) 


$ MFT: $ Bitmap 中 位 图 字 节 所 表示 记录 号 如 式 (6. 32): 
$ MFT: $ Bitmap 位 图 字 节 表示 的 记录 号 = $ MFT:$ Bitmap 所 在 段 的 开始 记录 号 十 
($ MFT: $ Bitmap 位 图 字 节 所 在 的 扇 区 号 一 
$ MFT: $ Bitmap 所 在 段 的 开始 扇 区 号 ) X 
4096 + J X fg £ >x 8 + N (6.32) 
其 中 : $MFT; $ Bitmap 位 图 字 节 所 在 的 扇 区 号 之 $MFT: $ Bitmap 所 在 段 的 开始 扇 区 号 ， 
N=={0,1,2,3,4,5,6,7} , 即 一 个 字 节 可 以 表示 8 个 记录 号 。 
通过 $ MFT: $ Bitmap 中 位 图 的 位 计算 记录 号 如 式 (6. 33): 
记录 号 = 记录 号 所 在 段 的 开始 记录 号 十 
( $ MFT: $ Bitmap 记录 号 所 在 扇 区 号 — $ MFT: $ Bitmap 所 在 段 的 开始 扇 区 号 ) X 
4096 十 扇 区 偏 移 x 8 十 字 节 位 (6. 33) 
其 中 : $ MFT: $ Bitmap 记录 号 所 在 扇 区 号 三 $MFT: $ Bitmap 所 在 段 的 开始 逻辑 扇 区 号 ; 
字 节 位 的 取 值 范围 为 0~7。H 盘 元 文件 $MFT 的 0 号 记录 BOH 属性 值 ( $ MFT: $ Bitmap) 


& 大 话 数据 恢复 


见 表 6.55 所 列 。 

例 6.26 计算 13396 号 记录 在 $MFT: $ Bitmap 中 的 位 置 ( 即 扇 区 号 、 扇 区 偏 移 和 位 ) 。 
注 : 13396 号 记录 对 应 为 H 盘 abcd2000 文件 夹 中 a000. txt 文件 记录 。 

解 : 

D 从 元 文件 $ MFT 的 0 号 记录 BOH 属性 数据 运行 列表 ( 注 : 数据 运行 列表 为 "21 01 FF 
62 11 01 FF 00”) 可 知 ,BOH 属性 值 被 分 为 两 段 存储 在 H 盘 中 ,第 1 段 开始 复 号 为 25343 ,第 2 
段 开始 簇 号 为 25342, 各 占 1 Ai; 由 于 H 盘 每 个 簇 等 于 8 个 扇 区 ,第 1 段 所 占 扇 区 号 范围 为 
202744 一 202751 ,第 2 段 所 占 扇 区 号 范围 为 202736 一 202743 。 

© 第 1 段 存储 的 记录 号 范围 为 0 一 32767; 第 2 段 存储 的 记录 号 范围 为 32768 一 65535。 

由 于 13396 一 32767, 所 以 ,13396 号 记录 位 于 第 1 Ez. 

由 式 (6. 21) 一 式 (6.23) 可 知 : 

13396 号 记录 在 $MFT: $ Bitmap 中 的 位 置 如 下 。 


13396 号 记录 在 $MFT: $ Bitmap 的 扇 区 号 = $ MFT; $ Bitmap 第 1 段 开始 扇 区 号 十 
INT( 文 件 记录 号 /4096) 一 INT( 本 段 的 开始 文件 记录 号 /4096) 王 202744 十 INT(13396/ 
4096) —INT(0/4096) =202747 

13396 号 记录 在 $ MFT: $ Bitmap 扇 区 偏 移 王 INT(( 文 件 记录 号 一 INT( 文 件 记 录 号 / 
4096) X4096)/8)=INT((13396—INT(13396/4096) X4096)/8)=138 ( 即 0X8A) 
13396 号 记录 在 $ MFT: $ Bitmap 字 节 位 王 mod(13396,8) 一 4 


所 以 ,13396 号 记录 在 $ MFT: $ Bitmap 定位 为 202747 号 扇 区 偏 移 0X8A 的 bit, o 
例 6.27 H 盘 元 文件 $MFT 的 0 号 记录 BOH 属性 值 ($ MFT: $ Bitmap) 见 表 6. 55 所 
列 , 计 算 202747 号 扇 区 偏 移 0X018C( 即 396) 的 bits 所 表示 的 记录 号 ,如 图 6.47 所 示 。 


Undo reverses: ma | offse a nc 5 E FE 
21 = [ZX 伯 人 在 ET 
pp pe oea 202747 号 扇 区 偏 移 为 0X018C 的 值 |E FF FF FF FF FF 


F FF FF FF FF FF Yyyyyyyyyyyyyyyy [g 
FF EF FF FF FF yyyyyyyyyyyyyyyy 
00 00 00 | yyyy8y-y798... 


062FF770 |FF FF FF FF FF FF FF F 

062FF780 FF FF FF FF DF FF F7 FF FF FF FI 
062FF790 OO 00 00 00 00 00 00 OD 00 00 00 00 00 00 00 OO ................ 
062FF7A0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 OO ................ 


| ontset 62FF78C | =255| Block na| Size: ma 


6.47 元 文件 $ MFT 的 BOH 属性 第 1 段 的 部 分 值 


从 元 文件 $ MFT 的 BOH 属性 的 数据 运行 列表 ( 注 : 数据 运行 列表 为 “21 01 FF 62 11 01 FF 
00”) 可 知 ,元 文件 $ MFT 的 BOH 属性 值 被 分 为 两 段 ,第 1 段 的 扇 区 号 范围 为 202744 一 202751 。 

由 式 (6. 24) 可 知 : 第 1 段 的 开始 记录 号 ==0 

由 式 (6. 28) 可 知 : 第 1 段 的 结束 记录 号 = 第 1 段 所 占 簇 数 X 每 个 簇 的 扇 区 数 X4096 一 1 


=1X8X4096—1=32767 


所 以 ,第 1 段 表 示 的 记录 号 范围 为 0 一 32767。 
第 2 段 的 扇 区 号 范围 为 202736 一 202743; 


由 式 (6. 25) 可 知 : 第 2 段 的 开始 记录 号 = 第 1 Ez Br h RRO hj" BÉ BJ B3 P< 3k >< 4096 


=1X8X4096=32768 


第 2 段 的 结束 记录 号 =( 第 1 Ez Pr h BE k 2 段 所 占 簇 数 )X 每 个 簇 的 扁 区 数 X4096 一 1 


一 (1 十 1)X4096 一 1 一 65535 
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所 以 ,第 2 段 表示 的 记录 号 范围 为 32768 一 65535 。 
由 于 202747 号 扇 区 位 于 第 1 段 , 由 式 (6. 33) 可 知 : 
记录 号 = 记录 号 所 在 段 的 开始 记录 号 十 ($MEFT:$ Bitmap 记录 号 所 在 扇 区 号 一 
$ MFT: $ Bitmap 所 在 段 的 开始 扇 区 号 ) X4096 十 扇 区 偏 移 X8 十 字 节 位 
一 0 十 (202747 一 202744) X4096 十 396X8 十 5 
一 15461 

因此 ,202747 号 扇 区 偏 移 0X018C 的 bits 所 表示 的 记录 号 为 15461。 注 : 15461 号 记录 为 
H 盘 Wordl 文件 夹 中 a01. doc 文件 的 记录 号 。 

注 : 作者 使 用 Excel 编写 了 针对 H 盘 , 元 文件 $ MFT 记录 号 在 $ MFT: $ Bitmap 位 置 定 
位 和 $MFT:$ Bitmap 中 任意 位 所 对 应 的 记录 号 算法 。 读 者 只 要 输入 元 文件 $MFT 的 记录 
号 ,就 可 以 得 到 该 记录 号 在 $ MFT: $ Bitmap 中 的 位 置 ( 即 扇 区 号 、 扇 区 偏 移 和 位 ); 或 者 输入 
$ MFT: $ Bitmap 中 扇 区 号 、. 扇 区 偏 移 和 位 ,也 可 以 计算 出 所 表示 的 记录 号 。 

(6) 0 号 记录 结束 标志 为 “FF FF FF FF 00 00 00 00( 存 储 形式 )”, 位 于 第 1 个 扇 区 偏 移 
0X0190—0X0197 处 。 

(7) 无 用 数据 : 0 号 记录 结束 标志 后 至 第 2 个 扇 区 之 间 的 数据 为 无 用 数据 ,但 是 第 1 个 扇 
区 和 第 2 个 扇 区 最 后 两 个 字 节 的 值 *13 00( 存 储 形式 )”, 分 别 需要 第 1 个 扇 区 偏 移 0X32 一 
0X33 和 0X34 一 0X35 处 的 值 来 蔡 换 。 


6.5.2 元 文件 $MFTMirr 


元 文件 $ MFTMirr 也 是 NTFS 文件 系统 中 非常 重要 的 元 文件 ,是 NTFS 文件 系统 以 恢 
复 为 目的 而 创建 的 元 文件 , 它 是 将 元 文件 $MFT 中 的 前 几 条 记录 做 了 备份 。 具 体 备 份 多 少 
条 记录 取决 于 NTFS 卷 中 每 个 得 的 扇 区 数 ; 但 是 ,至 少 需 要 做 4 条 记录 的 备份 。 每 个 簇 的 扇 
区 数 与 元 文件 $ MFTMirr 中 记录 数 的 关系 , 见 本 章 表 6. 2 所 列 。 

元 文件 $ MFTMirr 记录 在 元 文件 $ MFT 中 的 记录 号 为 1( 即 文件 ID 为 1) 。 一 般 情况 
下 ,元 文件 $ MFTMirr 记录 ( 即 1 号 记录 ) 主 要 由 记录 头 .10H 属性 .30H 属性 .80H 属性 、 记 
录 结 束 标志 和 无 用 数据 组 成 ,从 元 文件 $ MFT( 或 元 文件 $MFTMirr) 的 1 号 记录 80H 属性 
数据 运行 列表 可 以 获得 元 文件 $ MFTMirr 的 开始 簇 号 。 注 : 元 文件 $ MFTMirr 的 开始 簇 号 
在 NTFS_DBR 中 会 有 记载 。 


6.5.3 元 文件 $ LogFile 


元 文件 $ LogFile 记录 在 元 文件 $ MFT 中 的 记录 号 为 2( 即 文件 ID 为 2) 。 一 般 情况 下 ， 
该 记录 主要 由 记录 头 、10H 属性 .30H 属性 .80H 属性 、 记 录 结 束 标志 和 无 用 数据 组 成 。 

日 志文 件 的 结构 比较 复杂 ,但 整体 结构 由 两 部 分 组 成 : 第 一 部 分 重启 动 区 域 ,其 头 部 固定 
标志 是 字符 “RSTR”, 大 小 为 4KB; 第 二 部 分 为 日 志 记 录 部 分 ,由 一 系列 4KB 大 小 的 日 志 记 录 
组 成 ,每 个 日 志 记录 的 开始 标志 为 字符 “RCRD”, 大 小 也 是 4KB。 

当 文 件 被 写 到 目标 磁盘 上 时 ,系统 要 做 两 件 事 : 一 是 写 文件 本 身 的 数据 ; 二 是 更 新 与 文 
件 系 统 有 关 的 一 些 数据 (如 : 文件 创建 的 日 期 时 间 等 )。 如 果 此 操作 完成 , 则 可 以 确认 文件 被 
写 到 目标 磁盘 的 存储 单元 ,并 且 文 件 系统 处 于 正常 状态 。 如 果 此 操作 未 完成 (如 : 电源 故障 、 


令 大 话 数据 恢复 


系统 瘫痪 等 ), 则 NTFS 文件 系统 处 于 非 正常 状态 ,NTFS 文件 系统 将 其 恢复 到 正常 状态 ,其 
途径 是 在 该 特殊 文件 里 记录 日 志 , 这 个 日 志文 件 会 记录 某 个 操作 是 否 成 功 ; 如 果 操作 失败 ,要 
在 系统 故障 后 第 一 次 进入 目标 磁盘 单元 时 ,系统 读 取 日 志文 件 并 使 其 恢复 到 最 后 一 次 操作 开 
始 前 的 正常 状态 , 当 系 统 写 日 志文 件 时 ,操作 必须 是 自动 且 即 时 的 ,在 很 短 的 时 间 内 把 卷 恢复 
到 正常 状态 ,恢复 时 间 与 目标 磁盘 大 小 无 关 , 只 与 失败 任务 的 复杂 程度 有 关 。 


6.5.4 元 文件 $Volume 


元 文件 $ Volume 记录 在 元 文件 $ MFT 中 的 记录 号 为 3( 即 文件 ID 为 3)。 一 般 情 况 下 ， 
该 记录 主要 由 记录 头 、10H 属性 30H 属性 .50H 属性 .60H 属性 .70H 属性 .80H 属性 .记录 
结束 标志 和 无 用 数据 组 成 。 这 是 一 个 描述 卷 信息 的 元 文件 , 它 是 唯一 一 个 包含 有 卷 名 (60H 
属性 ) 和 卷 信息 (70H 属性 ) 这 两 个 属性 的 元 文件 。 


6.5.5 元 文件 $ AttrDef 


元 文件 $ AttrDef 记录 在 元 文件 $MFT 中 的 记录 号 为 4( 即 文件 ID 为 4) 。 该 记录 主要 
由 记录 头 、10H 属性 .30H 属性 .50H 属性 ,80H 属性 .记录 结束 标志 和 无 用 数据 组 成 ,元 文件 
$ AttrDef 定义 了 卷 中 所 有 可 用 文件 属性 的 信息 。 


6.5.6 元 文件 “.” 


元 文件 “. ” 即 根 目 录 , 在 元 文件 $ MFT 中 的 记录 号 为 5, 名 称 为 “.”。 该 记录 主要 由 记录 
头 、10H 属性 .30H 属性 .40H 属性 .50H 属性 .90H JEPE, AOH JRE, BOH 属性 .记录 结束 标 
志和 无 用 数据 组 成 。 元 文件 “. ”是 用 来 管理 根 目录 的 ,NTFS 的 根 目 录 也 是 一 个 普通 的 目录 ， 
如 果 卷 有 一 个 重 解析 点 ,那么 根 目录 就 会 有 一 个 命名 数据 流 , 称 作 * $ MountMgrDatabase”; 
如 果 卷 没有 重 解析 点 , 则 没有 这 个 命名 数据 流 。 

例 6.28 H 盘 的 元 文件 “.”( 即 根 目录 ) ,在 元 文件 $MFT 中 的 记录 号 为 5, 如 图 6.48 所 
示 ( 注 : 记录 中 无 用 数据 已 删除 ) 。 


Offset 

06301400 
06301410 
06301420 
06301430 
06301440 
06301450 
06301460 
06301470 
06301480 
06301490 
063014A0 
063014B0 


01234567 89ABC DER 

46 49 4C 45 30 00 03 00 64 4D 68 00 00 00 00 00 
05 00 01 00 38 00 03 00 A8 03 00 00 00 04 00 00 
00 00 00 00 00 00 00 00 0B 00 00 00 05 00 00 00 
OD 00 po o5] oo 00 00 00 10 00 00 00 48 00 00 00 
00 00 18 00 00 00 00 00 30 00 00 00 18 00 00 00 
2E 29 A3 F6 E3 61 DO 01 90 48 60 8A OF 65 DO 01 
90 48 60 8A OF 65 DO 01 90 48 60 8A OF 65 DO 01 
06 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
30 00 00 00 60 00 00 00 00 00 18 00 00 00 01 00 
44 00 00 00 18 00 01 00 05 00 00 00 00 00 05 00 
2E 29 A3 F6 E3 61 DO 01 2E 29 A3 F6 E3 61 DO 01 
2E 29 A3 F6 E3 61 DO 01 2E 29 A3 F6 E3 61 DO 01 


图 6.48 元 文件 $ MFT 的 5 号 记录 


Da 
D, 
30H 必 性 


063014C0 
063014D0 
063014E0 
063014F0 
06301500 
06301510 
06301520 
06301530 
06301540 
06301550 
06301560 
06301570 
06301580 
06301590 
063015A0 
063015B0 
063015C0 
063015D0 
063015E0 
063015F0 
06301600 
06301610 
06301620 
06301630 
06301640 
06301650 
0630166 

06. 
06301680 
06301690 
063016A0 
063016B0 
063016C0 
063016D0 
063016E0 


063016F0 
06301700 
06301710 
06301720 
06301730 
06301740 
06301750 
06301760 
06301770 
06301780 
06301790 
063017A0 


00 00 00 00 00 00 00 00 
06 00 00 10 00 00 00 00 
40 00 00 00 28 00 00 00 00 00 00 00 00 00 
10 00 00 00 18 00 00 00 EA 9C 31 C4 F5 DO 
93 D8 D4 BE D9 E3 58 EA 50 00 00 00 00 01 
00 00 18 00 00 00 02 00 E4 00 00 00 18 00 
01 00 04 80 CC 00 00 00 D8 00 00 00 00 00 
14 00 00 00 02 00 B8 00 08 00 00 00 00 00 
FF 01 1F 00 01 02 00 00 00 00 00 05 20 00 
20 02 00 00 00 0B 18 00 00 00 00 10 01 02 
00 00 00 05 20 00 00 00 20 02 00 00 00 00 
1F 00 01 01 00 00 00 00 00 05 12 00 
00 OB 14 00 00 00 00 10 01 01 00 00 00 00 
12 00 00 00 00 00 14 00 BF 01 13 00 01 01 
00 00 00 05 0B 00 00 00 00 0B 14 00 00 00 
01 01 00 00 00 00 00 05 0B 00 00 00 00 00 
A9 00 12 00 01 02 00 00 00 00 00 05 20 00 
21 02 00 00 00 OB 18 00 00 00 00 AO 01 02 

00 05 20 01 


00 00 00 00 00 00 
01 03 2E 00 00 00 


12 00 00 00 00 00 00 00 90 00 00 00 B8 00 00 00 
18 00 00 00 06 00 98 00 00 00 20 00 00 00 
24 00 49 00 33 00 30 00 30 00 00 00 01 00 00 00 
00 10 00 00 01 00 00 00 10 00 00 00 88 00 00 00 
88 00 00 00 01 00 00 00 45 3C 00 00 00 00 01 00 
60 00 48 00 01 00 00 00 05 00 00 00 00 00 05 00 


66 77 A8 OE E4 
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90H 属 性 


名 al1 的 Unicode 码 


00 00 00 00 00 00 00 00 
00 00 00 00 00 00 00 00 
01 00 00 00 00 00 00 00 
01 04 40 00 00 00 08 00 
01 00 00 00 00 00 00 00 
00 20 00 00 00 00 00 00 


00 20 00 00 00 00 00 00 
00 04 18 00 00 00 07 00 
24 00 49 00 33 00 30 00 
00 01 00 00 68 00 00 00 
38 00 00 00 30 00 00 00 
5F 00 44 00 41 00 54 00 
05 00 00 00 00 00 05 00 


03 00 00 00 00 00 00 00 
00 09 18 00 00 00 09 00 
24 00 54 00 58 00 46 00 
41 00 00 00 00 00 00 00 
00 00 01 00 00 00 
00 00 00 00 00 00 
00 00 00 00 00 00 00 00 
FF FF FF FF 00 00 00 00 


( 续 ) 


图 6. 48 


100H 属 性 


& 大 话 数据 恢复 


(1) 10H 属性 

10H 属性 定义 了 元 文件 “. "创建 的 日 期 时 间 、 最 后 修改 的 日 期 时 间 、 记 录 修 改 的 日 期 时 
间 、 文 件 最 后 访问 的 日 期 时 间 和 文件 标志 (此 处 是 06H ,表示 其 为 隐藏 系统 属性 ) 等 信息 。 

(2) 30H 属性 

30H 属性 定义 了 元 文件 “. ”的 父 目 录 文件 参考 号 为 根 目 录 本 身 、 根 目录 的 一 些 时 间 属 性 、 
系统 分 配给 根 目录 的 大 小 为 0X0000 字 节 实际 使 用 的 大 小 为 0X0000 字 节 ,文件 标志 、 文 件 名 
的 长 度 、 文 件 名 命名 空间 以 及 文件 名 。 

文件 标志 说 明 : 偏 移 地 址 OQXD0 一 0XD3 处 的 值 为 10000006H( 存 储 形式 为 06 00 00 10), 
其 中 : 10000000H 表示 目录 ,00000002H 表示 隐 含 ,00000004H 表示 系统 ,所 以 根 目 录 的 属性 
为 目录 、 隐 含 和 系统 。 

文件 名 说 明 : 在 偏 移 地 址 0XD8 一 0XDB 处 的 值 为 “01 03 2E 00”( 存 储 形式 ) ,说 明 目 录 名 
的 长 度 为 1 个 字符 、 目 录 名 命名 空间 为 3( 即 Win32&DOS) 和 目录 名 为 “.”, 即 根 目录 的 名 称 
为 “. ”( 注 :“. ”的 Unicode 码 为 “002E”) 。 

(3) 40H 属性 

40H 属性 定义 了 元 文件 “. ”的 对 象 ID。 

(4) 50H 属性 

50H 属性 定义 了 元 文件 “. ”的 安全 属性 。 

(5) 90H 属性 

90H 属性 定义 了 根 目录 的 索引 为 文件 名 索引 ,其 说 明 见 表 6. 60 所 列 。 


36.60 根 目录 的 90H 属性 结构 


字 节 | 字 节 ti " 

偏 移 | 数 | 十 进 制 | 十 六 进 制 | 存储 形式 
0X208 | 4 144 90 90 00 00 00 | 属性 类 型 
OX20C | 4 184 B8 B8000000 | 90H 属性 长 度 为 0XB8 字 节 

0X210 | 1 0 0 00 00: 常 驻 属性 

0x211 | 1 4 4 04 属性 名 长 度 为 4 个 Unicode 码 

0X212 | 2 24 18 18 00 属性 名 偏 移 为 0X0018 

0X214 | 2 0 o |o WEER ME WAD pon 
0X216 | 2 6 6 06 00 标识 为 06 x 
0X218 | 4 152 98 98 00 00 00 | 属性 体 长 度 为 0X98 头 
0X21C | 2 32 20 20 00 属性 体 开始 偏 移 为 0X20 
0X21E | 1 0 0 00 00 索引 标志 为 0 
0X21F | 1 0 0 00 填充 为 0 

0X220 | 8 网 a 1 号 属性 名 为 “$130” 
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续 表 
字 节 | 字 节 值 
& x 备注 
偏 移 | 数 | 十 进 制 | 十 六 进 制 | 存储 形式 
0X228 | 4 48 30 30 00 00 00 | 属性 类 型 为 0X30 
0X22C | 4 1 1 01 00 00 00 | 校对 规则 为 1 z 
每 个 索引 节点 的 分 配 大 小 为 0X1000 
0X230 | 4 4096 1000 | 00 10 00 00 pam 引 
0X234 | 1 1 1 01 每 个 索引 节点 的 簇 数 为 1 i 
0X235 | 3 0 0 00 00 00 无 意义 ,填充 为 0 
0X238 | 4 16 10 10 00 00 00 | 第 一 个 索引 项 的 偏 移 为 0X10 
0X23C | 4 136 88 88 00 00 00 | 索引 项 总 的 大 小 为 0X88 字 节 索 
0X240 | 4 136 88 88 00 00 00 索引 项 的 分 配 大 小 0X88 字 节 引 
OX244 | 1 1 1 01 标志 : 为 1 时 ,表示 其 为 大 索引 头 
0X245 | 3 0 0 00 00 00 无 意义 
doa) SB ia seg 453C0000 | all 文件 夹 在 元 文件 $MFT 中 的 记录 
00 00 号 为 0X3C45 
OX24E | 2 1 1 01 00 0X3C45 号 记录 更 新 的 次 数 为 1 次 
OX250 | 2 96 60 60 00 索引 项 的 长 度 为 X060 
0X252 | 2 72 48 48 00 文件 夹 名 all 的 偏 移 地 址 为 0X048 
0X254 | 2 1 1 01 00 索引 标志 为 01 
0X256 | 2 0 0 00 00 无 意义 
ox258| 6 | 5 5 [05000000 | all 父 目 录 的 记录 号 为 05 
00 00 u| 90H 
OX25E | 2 5 5 05 00 父 目 录 更 新 的 次 数 为 5 次 属 
all 文件 夹 建 立 、 修 改 ,记录 改变 以 及 最 性 
0X260 | 32 略 略 后 访问 的 日 期 时 间 f 体 
00 00 00 00 
0X280 | 8 0 0 0 all 文件 夹 的 分 配 大 小 为 0 字 节 a 
ox288 | 8 | o o (00000000 | 11 文件 夹 的 实际 大 小 为 0 字 节 项 
00 00 00 00 
0X290 | 8 10000000 mo all 为 文件 夹 
00 00 00 00 
0X298 | 1 3 š 03 a11 文件 名 的 命名 空间 为 03 
0X299 | 1 3 š 03 all 文件 夹 名 的 长 度 为 3 个 Unicode IB 
OX29A | 6 PRAN all 文件 夹 名 的 Unicode 码 
31 00 
0X2A0 | 8 0 0 Po all 文件 夹 后 的 指针 为 0 
00 00 00 00 
00 00 00 00 
OX2A8 | 8 0 0 
00 00 00 00 
0X2B0 | 4 24 18 18 00 00 00 | 索引 项 的 长 度 为 0X18 索 
OX2B4 | 4 3 3 03 00 00 00 i OEE 2 
后 为 03 项 
01 00 00 00 
0X2B8 | 8 1 1 指针 为 01 


@ 大 话 数据 恢复 


(6) A0H 属性 
在 例 6. 28 中 ,记录 号 为 5( 即 根 目录 ) 的 AOH 属性 为 非常 驻 有 属性 名 属性 ,属性 名 为 
$130, 开 始 VCN 为 0, 结 束 VCN 为 1, 共 占 2 个 簇 。 分 配 大 小 为 8192 字 节 ,实际 占用 了 8192 


所 列 , 从 数据 运行 列表 可 知 , 根 目录 下 的 索引 节点 被 划分 为 两 段 存储 在 H 盘 中 。 即 根 目录 下 
的 文件 名 分 别 存 储 在 5 号 记录 的 90H 属性 、44 号 簇 ( 即 0 号 索引 节点 ) 和 18097 号 簇 ( 即 1 号 


索引 节点 ) 中 。 
表 6.61 根 目录 数据 运行 列表 结构 含义 
开始 能 号 Br di fk SW 
Eo S 数据 运行 列表 
十 六 进 制 十 进 制 十 六 进 制 十 进 制 
1 11 01 2C 2c 44 1 1 
2 21 01 85 46 2C+4685=46B1 18097 1 1 


(7) BOH 属性 

5 号 记录 的 BOH 属性 定义 了 索引 节点 的 使 用 情况 。 在 例 6. 28 中 BOH 属性 为 常 驻 属 性 
有 属性 名 ,其 值 为 0X03 ,所 对 应 的 二 进 制 数 为 “0000 0011”。 由 于 目录 的 分 配 是 以 索引 节点 为 
单位 ,从 例 6. 28 中 的 数据 运行 列表 可 知 ,索引 目录 共 占 用 了 2 个 簇 ,由 于 每 个 索引 节点 等 于 1 
簇 , 因 此 共有 2 个 索引 节点 ,使 用 2 位 二 进 制 便 可 以 表示 2 个 索引 节点 的 状态 。LCN VCN 与 
根 目录 索引 节点 对 应 情况 见 表 6.62 所 列 。 


表 6.62 LCN、VCN 与 根 目录 索引 节点 使 用 情况 表 


十 六 进 制 值 03 
二 进 制 位 Bit; Bits Bits Bit, Bit; Bit; Bit Bito 
二 进 制 值 0 0 0 0 0 0 ï 1 
LCN 18097 44 
VCN 1 0 
索引 节点 号 1 0 


节点 状态 未 使 用 REH ”未 使 用 ”未 使 用 未 使 用 KEH 已 使 用 已 使 用 


MK 6.62 可 知 ,这 2 个 索引 节点 已 被 使 用 。 有 关 根 目录 索引 的 情况 ,在 本 章 6. 8 节 中 将 
会 进一步 介绍 。 


6.5.7 元 文件 $ Bitmap 


元 文件 $ Bitmap 记录 在 元 文件 $ MFT 中 的 记录 号 为 6( 即 文件 ID 为 6)。 该 记录 主要 由 
记录 头 、10H 属性 .30H 属性 .80H 属性 、 记 录 结 束 标志 和 无 用 数据 组 成 ,元 文件 $ Bitmap 用 
来 管理 NTFS 卷 中 所 有 簇 的 使 用 情况 . 它 的 数据 由 一 系列 的 二 进 制 位 构成 ,每 一 位 代表 一 个 
LCN 的 使 用 情况 ; 在 一 个 字 节 中 ,低位 代表 小 簇 号 ,而 高 位 则 代表 大 簇 号 。 如 果 该 位 的 值 为 
1, 则 表示 所 对 应 的 LCN 已 使 用 ( 即 已 分 配 ) 或 者 已 坏 ; 如 果 该 位 的 值 为 0, 则 表示 所 对 应 的 
LCN 未 使 用 ( 即 未 分 配 ) 。 


例 6.29 H 盘 的 元 文件 $ Bitmap”( 即 位 图 文件 ) ,在 元 文件 $MFT 中 的 记录 号 为 6, 如 


图 6. 49 所 示 ( 注 : 记录 中 无 用 数据 已 删除 ) 。 


Offset 

06301800 
06301810 
06301820 
06301830 
06301840 
06301850 
06301860 
06301870 
06301880 
06301890 
063018A0 
063018B0 
063018C0 
063018D0 
063018E0 
063018F0 
06301900 
06301910 
06301920 
06301930 
06301940 


(1) 10H 属性 


01234567 
46 49 4C 45 30 00 03 00 
06 00 01 00 38 00 01 00 
00 00 00 00 00 00 00 00 


oc 00 00 00 00 00 00 00 


00 00 18 00 00 00 00 00 
2E 29 A3 F6 E3 61 DO 01 
2E 29 A3 F6 E3 61 DO 01 
06 00 00 00 00 00 00 00 
00 00 00 00 00 01 00 00 
00 00 00 00 00 00 00 00 
00 00 18 00 00 00 02 00 
05 00 00 00 00 00 05 00 
2E 29 A3 F6 E3 61 DO 01 
2E 29 A3 F6 E3 61 DO 01 
20 25 00 00 00 00 00 00 
07 03 24 00 42 00 69 00 
80 00 00 00 48 00 00 00 


8 9ABCDEF 
BC 23 10 00 00 00 00 00 
50 01 00 00 00 04 00 00 
05 00 00 00 06 00 00 00 
10 00 00 00 60 00 00 00 
48 00 00 00 18 00 00 00 
2E 29 A3 F6 E3 61 DO 01 
2E 29 A3 F6 E3 61 DO 01 
00 00 00 00 00 00 00 00 
00 00 00 00 00 00 00 00 
30 00 00 00 68 00 00 00 
50 00 00 00 18 00 01 00 
2E 29 A3 F6 E3 61 DO 01 
2E 29 A3 F6 E3 61 DO 01 
00 30 00 00 00 00 00 00 
06 00 00 00 00 00 00 00 
74 00 6D 00 61 00 70 00 
01 00 40 00 00 00 04 00 


po o0 00 00 00 00 00 00) 


2 00 00 00 00 00 00 od) 


40 00 00 00 00 00 00 00 
20 25 00 00 00 00 00 00 
21 03 FB 62 00 00 00 00 


00 30 00 00 00 00 00 00 
20 25 00 00 00 00 00 00 
FFE FF FF FF 00 00 00 00 


图 6.49 元 文件 $MFT 的 6 号 记录 
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10H 属性 定义 了 元 文件 $ Bitmap 创建 的 日 期 时 间 、 最 后 修改 的 日 期 时 间 、 该 记录 修改 的 日 
期 时 间 .文件 最 后 访问 的 日 期 时 间 和 文件 标志 (此 处 是 06H, 表 示 其 为 隐藏 ,系统 属性 ) 等 信息 。 


(2) 30H 属性 


30H 属性 定义 了 元 文件 $ Bitmap 的 父 目录 文件 参考 号 为 根 目录 ,$ Bitmap 创建 的 日 期 
时 间 属 性 ,系统 分 配给 $ Bitmap 的 大 小 为 0X3000 字 节 ,实际 使 用 的 大 小 为 0X2520 字 节 , 文 
件 标志 为 0X06( 表 示 其 为 隐藏 .系统 属性 ) ,文件 名 的 长 度 为 7, 文 件 名 命名 空间 为 3 及 文件 名 
为 $ Bitmap. 

(3) 80H 属性 

H 盘 元 文件 $ MFT 的 6 号 记录 80H 属性 为 非常 驻 无 属性 名 属性 ,数据 流 的 开始 VCN 为 
0X00, 而 结束 VCN 为 0X02, 共 占 0X03 个 簇 。 系 统 分 配给 $ Bitmap 的 大 小 为 0X3000 字 节 ， 
实际 占用 了 0X2520 字 节 。 数 据 运行 列表 为 21 03 FB 62, 从 数据 运行 列表 可 知 , 该 位 图 文 
件 的 簇 号 范围 为 25339 一 25341 ,元 文件 $ Bitmap 的 LCN 与 VCN 对 应 关系 见 表 6. 63 所 列 。 

表 6.63 元 文件 $ Bitmap 的 LCN 与 VCN 对 应 关系 


簇 号 十 六 进 制 十 进 H 
LCN 与 VCN FARS | 下 一 簇 号 | ARRS | FRES | 下 一 能 号 结束 簇 号 
LCN 62FB 62FC 62FD 25339 25340 25341 
VCN 0 š 0 i 2 


T H 盘 每 个 簇 等 于 8 个 扇 区 ,每 1 位 表示 1 个 簇 的 状态 ,因此 ,该 位 图 文件 可 以 表示 的 
最 多 复数 =3 K> 8 扇 区 / 簇 X512 字 节 / 扇 区 X8 位 / 字 节 X1 簇 /位 ==98 304 个 。 


& 大 话 数据 恢复 


这 与 系统 分 配给 元 文件 $ Bitmap 的 大 小 为 0X3000 字 节 (每 个 字 节 为 8 位 ,可 以 表示 的 最 
多 簇 数 二 12288 字 节 X8 位 / 字 节 X1 簇 /位 二 98 304 个 ) 计 算出 来 的 结果 完全 吻合 。 由 于 
NTFS 文件 系统 簇 的 开始 号 为 0, 理论 上 ,H 盘 的 最 大 簇 号 为 98303; 但 一 般 情 况 下 ,不 会 用 到 


最 大 艇 号 。 


H 盘 实际 使 用 $ Bitmap 的 大 小 为 0X2520 字 节 ,由 于 每 个 字 节 为 8 位 ,实际 可 以 表示 的 最 
多 簇 数 二 9504 字 节 X8 位 / 字 节 X1 簇 /位 =76 032 个 , 簇 号 范围 为 0~76 031; 其 中 : 76 031 
号 簇 只 有 7 个 扇 区 ,未 构成 一 个 完整 的 徐 ( 注 : H 盘 一 个 完整 的 簇 为 8 个 扇 区 ) ,标识 为 坏 簇 ， 
在 元 文件 $ MFT 的 8 号 记录 中 有 定义 ,而 H 盘 可 以 使 用 的 簇 号 范围 为 0~76 030, H 盘 元 文 


件 $ Bitmap 的 内 容 见 表 6. 64 所 列 。 


表 6.64 元 文件 $Bitmap 的 80H 属性 值 内 容 


LCN | VCN | 逻辑 肩 区 地 址 让 
362242 062FB000 |FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
sms | e | 1 = 
062FB7F0 | FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
062FB800 | FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
202716 | oo 
062FB9F0 | 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
062FBA00 | 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
25339 0 202717 | seee | 
062FBBF0 | FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
062FBC00 | FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
202718 | oo | 
062FBDF0 | FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
062FBE00 | FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
202719 | oo | 
062FBFF0 |00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
062FC000 |00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
202720~ 
25340 $ x+ | 2  L⁄geeë.lëélëlee === 
202727 
062FCFF0 | 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
062FD000 |00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
202728~ 
25341 > | “7255 3 | Canas |  “ 
202735 
O62FEFFO |00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 


从 表 6. 64 可 知 , 202712 号 扇 区 偏 移 0X00( 即 地 址 0X062FB000) 和 0X001 CEP Hb Ht 
0X062FB001) 值 均 为 0XFF ,所 表示 的 簇 号 见 表 6. 65 和 表 6.66 所 列 。 


表 6.65 202712 号 扇 区 偏 移 0X00 的 值 及 所 代表 的 簇 号 情况 


地 址 0X062FB000 (25339 号 簇 ,202712 号 扇 区 偏 移 0X00) 

十 六 进 制 值 FF 
二 进 制 位 Bit; Bits Bit; Bit, Bit; Bit, Bit, Bito 
二 进 制 值 1 1 í 1 1 i 1 
表示 簇 号 g 6 Š 4 3 1 0 
得 号 状态 已 使 用 ”已 使 用 已 使 用 已 使 用 已 使 用 已 使 用 已 使 用 已 使 用 
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表 6.66 202712 ZARRAB 0X01 的 值 及 所 代表 的 入 号 情况 


地 址 0X0620FB001 (25339 -54% 202712 号 扇 区 偏 移 0X01) 
十 六 进 制 值 FF 
二 进 制 位 Bit; Bits Bits Bit, Bits Bitz Bit Bito 
二 进 制 值 1 1 i 1 1 1 1 T 
表示 的 簇 号 15 14 13 w 11 10 9 8 
RERS 已 使 用 ”已 使 用 已 使 用 已 使 用 已 使 用 已 使 用 已 使 用 已 使 用 


簇 号 在 元 文件 $ Bitmap 中 的 定位 由 扇 区 号 、 扇 区 偏 移 和 位 3 部 分 组 成 。 从 H 盘 元 文件 
$ MFT 的 6 号 记录 80H 属性 数据 运行 列表 可 知 ,元 文件 $ Bitmap 内 容 只 是 一 个 段 存储 在 H 
盘 中 。 因 此 ,计算 簇 号 在 元 文件 $ Bitmap 中 的 定位 如 式 (6. 34) 一 式 (6. 36) 。 

计算 簇 号 在 元 文件 $ Bitmap 扇 区 号 定位 如 式 (6. 34): 


扇 区 号 = $ Bitmap 的 开始 扇 区 号 十 INT( 簇 号 /4096) (6. 34) 
计算 簇 号 在 元 文件 $ Bitmap 扇 区 偏 移 定位 如 式 (6. 35): 
扇 区 偏 移 = INT(( 簇 号 一 INT( 簇 号 /4096) X 4096)/8) (6;.35) 
计算 簇 号 在 元 文件 $ Bitmap 字 节 位 定位 如 式 (6. 36): 
字 节 位 = MOD( 徐 号 ,8) (6. 36) 


说 明 : 在 式 (6. 34) 一 式 (6. 36) 中 ,INT 表示 取 整 ,MOD 表示 取 余 数 。 

例 6.30 存储 在 H 盘 abcdl 文件 夹 中 的 1.JPG 文件 ,文件 记录 号 为 11891, 其 记录 部 分 
值 如 图 6. 50 所 示 ,计算 1. JPG 文件 内 容 的 开始 簇 号 和 结束 得 号 在 位 图 文件 $ Bitmap 中 的 
位 置 。 


06E9cD10 
Physical sector No — 226662 
er 06E9CD20 
82 79 47 11 | 


Alloc of visible drive space: 
Us _92.1MB |, Uc 


| Offset 6E9C07B =0 Block ma) Sze: ma 


图 6.50 11891 号 记录 的 部 分 值 


解 : 
A) 元 文件 $MFT 中 的 6 号 记录 ( 即 元 文件 $ Bitmap 记录 )80H 属性 数据 运行 列表 为 
“21 03 FB 63”, 所 以 元 文件 $ Bitmap 开始 能 号 为 25339 ,开始 扇 区 号 为 202712。 
(2) 从 11891 号 记录 的 80H 属性 可 知 ,数据 运行 列表 为 “21 5C DB 10”。 
(3) 从 11891 号 记录 数据 运行 列表 可 知 ,文件 1.JPG 的 开始 簇 号 为 0X10DB( 即 4315) ,而 
结束 簇 号 为 0X1136( 即 4406) , 共 占 0X5C( 即 92) 个 簇 。 
(4) 由 式 (6. 34) 一 式 (6. 36) 可 以 计算 出 1. JPG 文件 开始 簇 号 在 元 文件 $Bitmap 中 的 
位 置 。 
1.JPG 文件 的 开始 簇 号 在 $ Bitmap 的 扇 区 号 
= $ Bitmap 的 开始 扇 区 号 十 INT( 簇 号 /4096) 
=202712 + INT(4315/4096) = 202713 


全 大 话 数据 恢复 
1.JPG 文件 的 开始 簇 号 在 $ Bitmap 位 置 的 扇 区 偏 移 


一 INT(( 簇 号 — INT (R 5/4096) X 4096)/8) 
一 INT((4315 — INT(4315/4096) X 4096)/8) = 27 (Bl 0X1B) 
1.JPG 文件 的 开始 簇 号 在 $ Bitmap 文件 字 节 位 
二 mod( 簇 号 ,8) = mod(4315,8) = 3 
所 以 ,1.JPG 文件 的 开始 簇 号 在 202713 号 扇 区 偏 移 0X1B 的 bit, 。 
(5) 由 式 (6. 34) 一 式 (6. 36) 可 以 计算 出 1. JPG 文件 结束 簇 号 在 元 文件 $Bitmap 中 的 
位 置 。 
1.JPG 文件 的 结束 簇 号 在 $ Bitmap 位 置 的 扇 区 号 
= $ Bitmap 的 开始 扇 区 号 十 INT( 簇 号 /4096) 
=202712 + INT(4406/4096) = 202713 
1.JPG 文件 的 结束 簇 号 在 $ Bitmap 位 置 的 扇 区 偏 移 
一 INT(( 簇 号 — INTGR 5/4096) X 4096)/8) 
一 INT((4406 — INT(4406/4096) X 4096) /8) 
一 38( 即 0X26) 
1.JPG 文件 的 结束 簇 号 在 $ Bitmap 文件 字 节 位 = mod( 簇 号 ,8) 
一 mod(4406,8) = 6 
所 以 ,1.JPG 文件 结束 簇 号 在 202713 号 扇 区 偏 移 0X26 的 bit, ,如 图 6.51 所 示 。 


"3 OFfsef rad " ZA B C DEF 

2027135 oerni] 扇 区 偏 移 0X1B 至 0X26 处 的 内 容 | FF FF FF FF FF FF 

— 062FB200 SEE FF FF FF FF FF FF 
F 


062FB210 FE FF FF FF FF FF FF FF Fi 
062FB220 [FF FF FF FF FF FF FF]FF FF FF FF FF FF FF FF FF 


062FB230 |FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 


62FB2DF =255 | Block waj 


6.51 202713 扇 区 号 字 节 偏 移 0X1B 至 0X26 处 的 内 容 


综 上 所 述 ,1.JPG 文件 的 开始 簇 号 在 元 文件 $Bitmap 中 的 位 置 为 202713 Z B < f 
0X1B 的 bits; 而 结束 簇 号 为 202713 号 扇 区 偏 移 0X26 的 bit, 。 
删除 1.JPG 文件 后 ,202713 号 扇 区 偏 移 0X1B 至 0X26 处 的 内 容 如 图 6. 52 所 示 。 


FF 

FE 

AÀ [aen 2minago| 062F6210 FF FF FF FF FF FF FF FF FF FF=P=[07 00 00 00 00 
20 [oo oo 00 oo oo oo 80] 

A oaorno- 202841 | 062FB220 [00 00 00 00 00 00 80]FF FF FF FF FF FF FF FF FF 


No. 202743 | 062FB230 |FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 


(Eector 202713 oos248 = 255| Block 


62FB2DA- 62FB2D/ 


图 6.52 删除 1.JPG 后 202713 Ñ KE 0X1B 至 0X26 处 的 内 容 


从 图 6. 52 可 知 ,202713 扇 区 偏 移 0X1B 处 的 值 由 *FF” 变 为 “07”, 扇 区 偏 移 0X1C 一 0X25 
处 的 值 由 "FF? 变 为 "00”, 而 扇 区 偏 移 0X26 处 的 值 由 "FF” 变 为 *80”; BD 1. JPG 文件 所 占据 的 
簇 号 位 图 值 由 “1” 变 为 “0”; 也 就 是 说 ,将 文件 1. JPG 删除 后 ,由 文件 1. JPG 内 容 所 占据 的 簇 
号 从 4315 至 4406 所 对 应 的 位 图 已 由 删除 1.JPG 文件 前 的 “1? 变 为 “0”, 说 明 被 1.JPG 文件 内 
容 所 占据 的 4315 一 4406 号 簇 已 被 释放 , 即 变 为 自由 簇 号 。 

通过 位 图 文件 $ Bitmap 中 的 字 节 位 计算 所 代表 的 簇 号 公式 如 式 (6. 37): 
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$ Bitmap 中 字 节 位 所 代表 的 簇 号 
一 ( 字 节 位 所 在 的 扇 区 号 一 $ Bitmap 开始 扇 区 号 ) X 4096 十 
字 节 偏 移 X 8 十 字 节 位 (6. 37) 
其 中 : 字 节 位 所 在 的 扇 区 号 之 $ Bitmap 开始 扇 区 号 。 

例 6.31 在 H 盘 中 ,每 个 徐 的 扇 区 数 为 8, 元 文件 $ Bitmap 的 数据 运行 列表 为 "21 03 FB 
62”, 请 分 别 计算 出 202713 号 扇 区 偏 移 0X1B 的 bit, 和 202713 号 扇 区 偏 移 0X26 的 bit, 所 表 
示 的 簇 号 。 

解 : 

从 元 文件 $ Bitmap 的 数据 运行 列表 可 知 ,元 文件 $ Bitmap 的 开始 簇 号 为 0X62FB( 即 
25339), 由 于 H 盘 每 个 簇 的 扇 区 数 为 8, 所 以 ,元 文件 $ Bitmap 的 开始 扇 区 号 为 202712。 

(1) 计算 202713 号 扇 区 偏 移 0X1B 的 bits 所 代表 的 簇 号 ,由 式 (6.37) 可 知 : 

$ Bitmap 中 的 位 所 代表 的 簇 号 = (位 所 在 的 扇 区 号 一 $ Bitmap 开始 扇 区 号 ) X 
4096 十 字 节 偏 移 X 8 十 位 
一 (202713 — 202712) X 4096 + 27 X 8 十 3 = 4315 
(2) 计算 202713 号 扇 区 偏 移 0X26 的 bits 所 表示 的 簇 号 ,由 式 (6. 37) 可 知 : 
$ Bitmap 中 的 位 所 代表 的 簇 号 = C Br fE WJ B bé — $ Bitmap 开始 扇 区 号 ) X 
4096 十 字 节 偏 移 X 8 十 位 
一 (202713 — 207212) X 4096 + 38 X 8 + 6 = 4406 

所 以 ,202713 号 扇 区 偏 移 0X1B 的 bit, BW É s Wg A 4315.0 202713 B X W 3 
0X26 的 bit, 所 表示 的 簇 号 为 4406. 

注 : 在 “第 6 章 \Excel 文件 ”文件 夹 中 ,有 一 个 名 为 “NTFS 数据 运行 列表 定位 算法 . xls” 
的 文件 ,在 该 文件 中 有 3 张 工作 表 , 名 称 分 别 为 “从 数据 运行 列表 计算 各 段 开始 簇 号 和 结束 簇 
号 ”“ 位 图 文件 中 位 所 代表 的 簇 号 ”和 *“ 簇 号 在 元 文件 $ Bitmap 中 的 位 置 。” 


6.5.8 元 文件 $ Boot 


元 文件 $ Boot 在 元 文件 $ MFT 中 为 第 8 个 元 文件 ,记录 号 为 7( 即 文件 ID 为 7)。 该 记 
录 主 要 由 记录 头 、10H 属性 .30H 属性 .50H 属性 .80H 属性 .记录 结束 标志 和 无 用 数据 组 成 。 
元 文件 $ Boot 主要 用 于 系统 启动 和 对 整 卷 的 BPB 参数 定义 。 它 是 卷 中 唯一 位 置 固定 的 元 文 
件 , 其 位 置 固定 在 卷 中 的 0 号 簇 。 

元 文件 $ Boot 内 容 主要 由 NTFS_DBR 和 系统 引导 记录 组 成 。NTFS_DBR 具体 说 明 在 
本 章 第 1 节 中 已 经 有 详细 介绍 ,这 里 不 再 重 述 。 


6.5.9 元 文件 $ BadClus 
元 文件 $ BadClus 在 元 文件 $ MFT 中 为 第 9 个 元 文件 ,记录 号 为 8( 即 文件 ID 为 8) 。 该 


记录 主要 由 记录 头 、10H 属性 .30H 属性 .80H 属性 .记录 结束 标志 和 无 用 数据 组 成 。 元 文件 
$ BadClus 主要 用 于 记录 卷 中 的 所 有 坏 簇 , 它 是 一 个 稀 政 文 件 , 只 要 有 指向 坏 簇 的 数据 流 , 应 


& 大 话 数据 恢复 


用 程序 便 不 可 访问 该 数据 流 。 


例 6.32 H 盘 的 元 文件 *$ BadClus”( 即 坏 簇 文件 ) ,在 元 文件 $MFT 中 的 记录 号 为 8， 


如 图 6. 53 所 示 ( 注 : 记录 中 无 用 数据 已 被 删除 ) 。 


Offset 01234567 89ABCDEF 
06302000 46 49 4C 45 30 00 03 00 OA 24 10 00 00 00 00 00 EEF 
06302010 08 00 01 00 38 00 01 00 78 01 00 00 00 04 00 00 < 记录 头 
06302020 00 00 00 00 00 00 00 00 05 00 00 00 08 00 00 00 
06302030 06 00 00 00 00 00 00 00 10 00 00 00 60 00 00 00 ; 
06302040 00 00 18 00 00 00 00 00 48 00 00 00 18 00 00 00 
06302050 2E 29 A3 F6 E3 61 DO 01 2E 29 A3 F6 E3 61 DO 01 
06302060 2E 29 A3 F6 E3 61 DO 01 2E 29 A3 F6 E3 61 DO 01 
06302070 06 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
06302080 00 00 00 00 00 01 00 00 00 00 00 00 00 00 00 00 
06302090 00 00 00 00 00 00 00 00 30 00 00 00 70 00 00 00 
063020A0 00 00 18 00 00 00 03 00 52 00 00 00 18 00 01 00 
063020B0 05 00 00 00 00 00 05 00 2E 29 A3 F6 E3 61 DO 01 
063020C0 2E 29 A3 F6 E3 61 DO 01 2E 29 A3 F6 E3 61 DO 01 
063020D0 2E 29 A3 F6 E3 61 DO 01 00 00 00 00 00 00 00 00 
063020E0 00 00 00 00 00 00 00 00 06 00 00 00 00 00 0000 .... .. 
063020F0 08 03 24 00 42 00 61 00 64 00 43 00 6C 00 75 00 ..$B.a.d.C.1.u, 
06302100 73 00 00 00 00 00 00 00 80 00 00 00 18 00 00 00 
06302110 00 00 18 00 00 00 02 00 00 00 00 00 18 00 00 00 
06302120 80 00 00 00 50 00 00 00 01 04 40 00 00 00 01 00 € 
06302130 00 00 00 00 00 00 00 00 FE 28 01 00 00 00 00 00 
06302140 48 00 00 00 00 00 00 00 00 FO 8F 12 00 00 00 00 
06302150 00 FO 8F 12 00 00 00 00 00 00 00 00 00 00 00 00 ( 2 80HJGPE 
06302160 24 00 42 00 61 00 64 00 03 naaa zu 
06302170 FF FF FF FF 00 00 00 00 00 00 18 00 00 00 02 00 ..l......... 

6.53 元 文件 $MFT 的 8 号 记录 

(1) 10H 属性 


10H 属性 定义 了 元 文件 $ BadClus 创建 的 日 期 时 间 、 最 后 修改 的 日 期 时 间 、 记 录 修 改 的 日 
期 时 间 文件 最 后 访问 的 日 期 时 间 文件 标志 (此 处 是 0X06 ,表示 其 为 隐藏 .系统 属性 ) 等 信息 。 

(2) 30H 属性 

30H 属性 定义 了 元 文件 $ BadClus 的 父 目 录 文 件 参 考 号 为 根 目 录 , $ BadClus 的 一 些 时 
间 属 性 ,系统 分 配给 $ BadClus 的 大 小 为 0X00 字 节 ,实际 使 用 的 大 小 为 0X00 字 节 ,文件 标志 
为 0X06( 表 示 其 为 隐藏 .系统 属性 ) ,文件 名 的 长 度 为 8, 文件 名 命名 空间 为 3 及 文件 名 为 
$ BadClus 。 

(3) 80H 属性 

在 元 文件 $ BadClus 记录 中 ,有 2 个 80H 属性 ,第 1 个 80H 属性 为 常 驻 无 属性 名 的 80H 
属性 , 偏 移 地 址 从 0X108 至 0X11F, 它 只 有 一 个 80H 属性 头 , 没 有 属性 体 。 

第 2 个 80H 属性 为 非常 驻 有 属性 名 ,属性 名 为 $ Bad, 其 数据 流 是 与 卷 大 小 相对 的 文件 。 
如 果 所 对 应 的 簇 中 只 要 有 1 个 扇 区 坏 ,那么 在 该 簇 所 对 应 的 $ Bitmap 文件 的 位 图 表 中 所 对 应 
的 二 进 制 位 将 填充 为 1 ,表示 该 簇 为 坏 禾 。 这 样 就 保证 坏 簇 不 会 被 文件 所 使 用 。 整 个 卷 的 开 
始 VCN 为 0, 而 结束 VCN 为 0X0128FE( 即 76030) ,共计 0X0128FF(76031) AiR; 数据 运行 
列表 为 “03 FF 28 01”; 从 数据 运行 列表 可 知 ,0X0128FF( 即 76031) 号 簇 为 坏 簇 。 
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6.6 索引 节点 结构 


6.6.1 索引 节点 介绍 


NTFS 文件 系统 中 的 一 项 新 功能 是 建立 在 一 种 叫 作 ”综合 索引 ”的 基本 功能 上 。 综 合 索引 
中 包含 了 具有 某 一 特征 的 多 个 分 类 项 ,并 使 用 一 种 高 效 的 存储 机 制 以 便于 快速 查找 。 在 
NTFS 3. 0 以 前 的 版 本 中 仅 支 持 $I30( 即 文件 名 索引 ) 的 综合 索引 ,索引 中 仅 存 储 目 录 项 , 索 
引 过 程 将 目录 项 按 名 称 分 类 并 将 这 些 名 称 ( 即 文件 名 或 文件 夹 名 ) 按 照 B 一 树 的 结构 保存 。 一 
个 标准 索引 节点 ( 注 : 有 些 书籍 称 为 索引 缓冲 区 ) 的 大 小 为 4096 字 节 ,主要 由 索引 节点 头 和 索 
引 节点 体 两 部 分 组 成 ,索引 节点 头 的 结构 见 表 6. 67 所 列 ; 索引 节点 体 由 若干 个 目录 项 组 成 。 


表 6.67 索引 节点 头 结构 


字 节 偏 移 | 字 节 数 & Xx 字 节 偏 移 | 字 节 数 & x 
0X00 4 INDX: 索引 节点 头 标志 0X25 3 用 00 填充 
被 更 新 序列 号 , 即 这 8 个 扇 区 
0X04 2 | 更 新 序列 号 的 偏 移 0X28 2 | 最 后 两 个 字 节 数据 
mí " ne 1 个 扇 区 最 后 
被 更 新 序列 号 数量 与 更 新 数组 
oxo | 2 | 之 和 ,被 更 新 序列 号 数量 为 1, | oc | 2 | 用 该 值 去 更 新 第 2 个 肩 区 最 后 
更 新 序列 数组 为 8 NI SS 
E x 用 该 值 去 更 新 第 3 个 扇 区 最 后 
两 个 字 节 的 值 
用 该 值 去 更 新 第 4 个 扇 区 最 后 
志 
0X08 8 日 志文 件 序列 号 0X30 2 两 个 字 节 的 值 
用 该 值 去 更 新 第 5 个 扇 区 最 后 
i 
0X10 8 索引 节点 编号 , 见 说 明 0X32 2 两 个 字 节 的 值 
用 该 值 去 更 新 第 6 个 扇 区 最 后 
0X18 4 索引 入 口 的 偏 移 0X34 2 两 个 字 节 的 值 
用 该 值 去 更 新 第 7 个 扇 区 最 后 
0X1C 4 索引 入 口 的 大 小 0X36 2 两 个 字 节 的 值 
用 该 值 去 更 新 第 8 个 扇 区 最 后 
0X20 4 索引 入 口 的 分 配 大 小 0X38 2 两 个 字 节 的 值 
0X24 1 1: 非 叶 节 点 ,0: 叶 节点 0X3A 6 用 oo 填充 


说 明 : ER 6.67 中 ,“ 索 引 节点 字 节 偏 移 oX10—0X17 处 的 值 ” 在 有 关 NTFS 文件 系统 的 
一 些 书籍 中 普遍 认为 是 VCN, 即 虚拟 徐 号 。 为 此 作者 做 了 大 量 的 实验 ,每 个 簇 的 扇 区 数 、 索 引 
节点 大 小 、 每 个 索引 节点 包括 的 复数 和 索引 节点 编号 对 应 关系 见 表 6. 68 所 列 。 因 此 ,作者 认 
为 该 值 为 索引 节点 编号 更 为 准确 。 
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表 6.68 每 个 簇 的 扇 区 数 、 索 引 节 点 大 小 描述 和 索引 节点 编号 关系 对 应 表 


索引 节点 索引 节点 大 小 描述 每 个 索引 节点 

MEME 。 大 小 措 述 。 在 NTFS_DBR 中 存储 形式 。 包括 的 镶 数 TTAR 
1 8 ik 08 8 0,8,16,24,32,40% 
2 4i 04 4 0、4.8、12、16、20…… 
4 28 02 2 0.2.4.6.8.10--.-. 
8 148 01 1 0.1.2.3.4.5-. 
16 4096 字 节 F4 0.5 0.8.16.24.32.40---.... 
32 4096 字 节 F4 0.25 0.8.16.24.32.40--.... 
64 4096 字 节 F4 0.125 0、8、16、24、32、40…… 
128 4096 字 节 F4 0.0625 0.8.16.24.32.40---.... 


6.6.2 索引 节点 分 类 


根据 索引 节点 是 否 有 效 , 可 以 将 索引 节点 分 为 有 效 索 引 节 点 和 无 效 索 引 节点 两 种 。 对 于 
有 效 索 引 节 点 而 言 ,文件 夹 记录 BOH 属性 值 对 应 二 进 制 位 的 值 为 1; 对 于 无 效 索引 节点 而 言 ， 
文件 夹 记录 BOH 属性 值 对 应 二 进 制 位 的 值 为 0。 根 据 索 引 节点 存储 索引 项 作用 的 不 同 ,可 以 
将 索引 节点 分 为 叶 节点 和 非 叶 节 点 两 种 。 组 合 后 ,索引 节点 可 以 分 为 4 种 类 型 , 即 有 效 叶 节 
点 \ 有 效 非 叶 节 点 ,无效 叶 节 点 和 无 效 非 叶 节点 ,索引 节点 分 类 见 表 6. 69 所 列 。 


36.69 索引 节点 分 类 表 


字 节 偏 移 文件 夹 记录 BOH 属性 值 索引 节点 结束 标志 
索引 节点 类 型 Xz 的 值 对 应 二 进 制 位 的 值 (存储 形式 ) 
有 效 叶 节点 00 1 10 00 00 00 02 00 00 00 
有 效 非 叶 节 点 01 1 18 00 00 00 03 00 00 00 十 指针 
无 效 叶 节点 00 0 
无 效 非 叶 节点 01 0 


无 效 索 引 节 点 主要 是 用 户 将 该 节点 中 所 存储 的 文件 全 部 删除 后 而 形成 的 。 无 效 叶 节点 索 
引入 口 的 大 小 为 0X38 字 节 ( 注 : 存储 形式 为 38 00 00 00) ,无 效 叶 节点 均 为 空 节点 , 即 该 叶 节 
点 中 存储 的 文件 名 均 为 无 效 文件 名 。 无 效 非 叶 节点 的 索引 入 口 大 小 为 0X40 字 节 ( 注 : 存储 形 
式 为 40 00 00 00); 但 是 有 的 非 叶 节点 索引 入 口 大 小 也 为 0X40 字 节 ,该 节点 文件 夹 记录 的 
BOH 属性 值 所 对 应 二 进 制 位 的 值 为 1, 因 此 ,这 类 非 叶 节 点 为 有 效 非 叶 节点 ,在 该 非 叶 节 点 中 
只 存储 一 个 有 效 节点 号 ,其 余 文 件 名 项 和 节点 号 均 无 效 。 

在 本 节 中 ,无效 叶 节点 和 无 效 非 叶 节 点 不 再 作 分 析 ; 如 果 没 有 作 特 别 说 明 , 本 书 中 所 提 到 
的 节点 均 是 指 有 效 节点 。 在 分 析 索 引 节点 时 ,要 分 清楚 该 节点 是 叶 节点 还 是 非 叶 节 点 。 


6.6.3 时 节点 
叶 节 点 主要 由 叶 节 点 头 有 效 索 引 项 、 叶 节点 结束 标志 和 无 用 数据 4 部 分 组 成 。 叶 节点 头 


的 大 小 一 般 为 64 字 节 ,有 效 索引 项 的 数量 一 般 在 1 至 45 个 之 间 , 叶 节点 的 结束 标志 为 “10 00 
00 00 02 00 00 00”( 存 储 形式 ) ,无 用 数据 区 域 也 可 能 存储 一 些 索引 项 ,但 是 由 于 存储 在 结束 标 
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志 之 后 ,所 以 ,在 无 用 数据 区 域 存储 的 索引 项 无 效 。 

叶 节 点 的 结构 大 致 如 图 6. 54 所 示 ,在 图 6. 54 中 , 叶 节点 存储 的 索引 项 总 数 为 i+ j 个 ,以 
第 1 个 “10 00 00 00 02 00 00 00”( 存 储 形式 ) 为 结束 标志 , 即 在 叶 节 点 中 ,从 索引 节点 头 至 第 1 
个 结束 标志 之 间 存 储 的 索引 项 为 有 效 索 引 项 ,而 在 第 1 个 结束 标志 之 后 存储 的 索引 项 ( 注 : 如 
果 存 在 索引 项 ) 无 效 。 所 以 , 叶 节 点 存储 的 有 效 索 引 项 数量 为 i 个 ,而 无 效 索引 项 数量 为 j 个。 
叶 节 点 索引 项 结构 见 表 6. 70 所 列 。 


以 “INDX” 开 头 的 前 64 字 节 ( 注 : 字 节 偏 移 0X24 的 值 为 00) 叶 节 点 头 
有 效 索 引 项 1 
有 效 索引 项 
HARID i 
第 1 个 “10 00 00 00 02 00 00 00”( 存 储 形式 ) 叶 节 点 结束 标志 
无 效 索引 项 1 
=. 无 效 索引 项 
无 效 索引 项 j QE: 在 有 的 叶 节 点 中 ， 
“10 00 00 00 02 00 00 00”( 存 储 形式 ) 不 一 定 存在 无 效 索 引 项 ) 
无 用 数据 


6.54 叶 节 点 结构 图 


36.70 了 叶 节 点 有 效 索 引 项 结构 
字 节 偏 移 | 字 节 数 * x 备注 


0X40 8 文件 记录 号 和 序列 号 
0X48 2 索引 项 大 小 (单位 : 字 节 ) 
OX4A 2 文件 名 属性 体 大 小 (单位 : 字 节 ) 
0X4C 2 索引 标志 ,此 处 为 0X0000 
OX4E 2 填充 到 8 字 节 (无 意义 ) 
0X50 8 父 目 录 记 录 号 和 序列 号 
0X58 8 文件 建立 的 日 期 时 间 
0X60 8 文件 修改 的 日 期 时 间 
0X68 8 文件 记录 改变 的 日 期 时 间 第 
0X70 8 文件 最 后 访问 的 日 期 时 间 i 
0X78 8 文件 分 配 大 小 (单位 : 字 节 ) 未 
0X80 8 文件 实际 大 小 (单位 : 字 节 ) 索 
0X88 8 文件 标志 , 即 只 读 、 隐 藏 等 引 
0X90 1 文件 名 长 度 (假设 文件 名 的 长 度 为 变量 F) 项 
OX91 1 文件 命名 空间 
0X92 2XF | 文件 名 
0X92+2X F P 填充 到 8 字 节 (无 意义 ) 
| 区 第 2 至 mm 个 索引 项 ,结构 与 第 1 个 索引 项 相同 
8 未 定义 
2 本 索引 项 的 长 度 ,一 般 为 0X0010 ,存储 形式 为 10 00 
2 KEKE 
2 标志 ,为 0002 表示 列表 的 最 后 一 项 , 即 以 后 的 文件 名 无 效 
2 未 使 用 
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例 6.33 260 号 记录 (对 应 的 文件 夹 名 为 a80) 的 AOH 属性 是 一 个 非常 驻 有 属性 名 的 属 
性 ,数据 运行 列表 为 *21 OC 5C 61”, 从 数据 运行 列表 可 知 ,a80 文件 夹 占 用 簇 号 范围 为 24924 一 
24935 ,共计 12 T£. hT H 盘 每 个 簇 的 扇 区 数 为 8, 而 每 个 索引 节点 正好 为 8 个 扇 区 。 所 以 
共有 12 个 索引 节点 ,而 260 号 记录 的 BOH 属性 值 为 “FF 07”( 存 储 形式 ), 因 此 ,只 有 11 个 索 
引 节 点 为 有 效 节 点 。0 号 索引 节点 的 内 容 如 图 6. 55 所 示 ( 注 : 由 于 篇 幅 限制 ,第 3 一 18 个 索引 
项 .第 20 一 37 索引 项 省 略 ) 。 


Offset 

0615C000 
0615C010 
0615C020 
0615C030 
0615C040 
0615C050 
0615C060 
0615C070 
0615C080 
0615C090 
0615C0A0 
0615C0B0 
0615C0C0 
0615C0D0 
0615C0E0 
0615C0F0 
0615C100 


0615C790 
0615C7AU 
0615C7B0 
0615C7C0 
0615C7D0 
0615C7E0 
0615C7F0 
0615C800 


01234567 89ABCDEF 
49 4E 44 58 28 00 09 00 6C 40 11 00 00 00 00 00 INDY...1@...... 


00 00 00 00 00 00 00 00| 28 00 00 00 FO 07 00 00 


E8 OF 00 00 po] o0 00 oo pz od po oil Di od Do og 
Do oo] po oo rs oo] B3 oo po oo| oo 00 oo oo oo oo 


05 01 00 00 00 00 01 00 68 00 52 00 00 00 00 00 


04 01 00 00 00 00 01 00 05 58 E9 04 E4 61 DO 01 
00 D4 1F D7 61 4B CC 01 05 58 E9 04 E4 61 DO 01 
05 58 E9 04 E4 61 DO 01 00 00 00 00 00 00 00 00 
00 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 
08 03 61 00 30 00 30 00 30 00 2E 00 74 00 78 00 
74 00 00 00 00 00 00 00 06 01 00 00 00 00 01 00 
68 00 52 00 00 00 00 00 04 01 00 00 00 00 01 00 
05 58 E9 04 E4 61 DO 01 00 D4 1F D7 61 4B CC 01 
05 58 E9 04 E4 61 DO 01 05 58 E9 04 E4 61 DO 01 
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
20 00 00 00 00 00 00 00 08 03 61 00 30 00 30 00 
31 00 2E 00 74 00 78 00 74 00 00 00 00 00 00 00 
...( 注 : 省 略 了 a002.txt 至 a017.txt 索 引 项 ) 
17 01 00 00 00 00 01 00 68 00 52 00 00 00 00 00 
04 01 00 0U 00 00 01 00 46 65 EC 04 k4 61 DO 01 
00 D4 1F D7 61 4B CC 01 46 65 EC 04 E4 61 DO 01 
46 6f ”结束 标志 (第 1 个 标志 ) |0000 00 00 00 00 
00 0 


图 6. 55 24924 S4C 0 号 索引 节点 ) 的 内 容 


从 图 6. 55 可 知 ,由 于 字 节 偏 移 0X24 的 值 为 00, 所 以 该 节点 是 一 个 叶 节 点 ,其 索引 节点 头 
说 明 见 表 6.71 所 列 ,索引 项 结构 说 明 见 表 6. 72 所 列 。 


表 6.71 0 号 索引 节点 头 结构 说 明 


字 节 | 字 节 值 Ss 
偏 移 | 数 | 十 进 制 | 十 六 进 制 | 存储 形式 
0X00 | 4 49 4E 44 58 | 索引 节点 头 标志 ,总 是 “INDX” 
OX04 | 2 40 28 28 00 更 新 序列 号 的 偏 移 为 0X28 
0X06 | 2 9 9 09 00 更 新 序列 号 数量 为 1 ,更 新 数组 有 8 个 
0X08 8 1130604 | 11406C Se 日 志文 件 序列 号 为 0X11406C 
00 00 00 00 
00 00 00 00 ” 
0X10 8 0 0 D000 0 本 索引 节点 编号 为 0 
0X18 4 40 28 28 00 00 00 | 索引 入 口 的 偏 移 (相对 于 0X18) 
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续 表 
值 
字 节 | 字 节 # š 
偏 移 | 数 | 十 进 制 六 进 制 | 存储 形式 
0X1C 4 2032 7F0 F0 07 00 00 | 索引 入 口 的 大 小 为 0X07Fo 字 节 
0X20 4 4072 OFE8 E8 OF 00 00 | 索引 入 口 的 分 配 大 小 为 0X0FE8 字 节 
0X24 1 0 0 0 是 叶 节点 置 为 0 
0X25 3 0 0 00 00 00 用 oo 填充 
0X28 2 2 2 02 00 更 新 序列 号 
OX2A | 2 464 1D0 Do 01 用 该 值 去 更 新 第 1 个 扇 区 最 后 两 个 字 节 的 值 
OX2C | 2 1 0001 01 00 用 该 值 去 更 新 第 2 个 扇 区 最 后 两 个 字 节 的 值 
OX2E | 2 0 0000 00 00 用 该 值 去 更 新 第 3 个 扇 区 最 后 两 个 字 节 的 值 
0X30 2 0 0000 00 00 用 该 值 去 更 新 第 4 个 扇 区 最 后 两 个 字 节 的 值 
0X32 Ż 0 0000 00 00 用 该 值 去 更 新 第 5 个 扇 区 最 后 两 个 字 节 的 值 
0X34 2 120 0078 78 00 用 该 值 去 更 新 第 6 个 扇 区 最 后 两 个 字 节 的 值 
0X36 2 51 0033 33 00 用 该 值 去 更 新 第 7 个 扇 区 最 后 两 个 字 节 的 值 
0X38 2 0 0000 00 00 用 该 值 去 更 新 第 8 个 扇 区 最 后 两 个 字 节 的 值 
表 6.72 24924 S (RD 0 号 索引 节点 ) 叶 节点 第 1 个 索引 项 结构 说 明 
字 节 | 字 节 fi E 
偏 移 | 数 | 十 进 制 | 十 六 进 制 | 存储 形式 
0X40 6 261 105 SPOLNI a00. txt 文件 的 ID 号 为 0X105 
00 00 
0X46 | 2 1 01 01 00 文件 序列 号 , 即 文件 被 使 用 或 删除 的 次 数 为 1 次 
索引 项 的 大 小 为 0X68 字 节 , 字 节 偏 移 0X40 
0x48 | 2 104 0068 68 00 
至 0XA8 
OX4A | 2 82 0052 52 00 文件 名 属性 体 大 小 为 0X52 字 节 
OX4C | 2 0 00 00 00 索引 标志 为 0 
OX4E | 2 0 00 00 00 填充 到 8 字 节 (无 意义 ) 
0X50 6 260 104 OO 父 目录 的 ID 号 为 0X104 
00 00 
0X56 | 2 1 01 01 00 父 目 录 被 使 用 或 删除 的 次 数 为 1 次 
ox58 | 8 05 58 E9 04 | 文件 建立 的 日 期 时 间 为 2015-03-19 11:28:35 
E4 61 D0 01 
0X60 8 ODETE 文件 修改 的 日 期 时 间 为 2011-07-26 07:01:28 
61 4B CC 01 
ox68 | 8 0558 ESOL | 文件 记录 改变 的 日 期 时 间 为 2015-03-19 11:28:35 
E4 61 D0 01 
ox70 | 8 05 58 E9 04 | 文件 最 后 访问 的 日 期 时 间 为 2015-03-19 11:28:35 
E4 61 Do 01 
ox78 | 8 o 00000000 | 文件 分 配 大 小 为 0 字 节 
00 00 00 00 
oxso | 8 o 00000000 | 文件 实际 大 小 为 0 字 节 
00 00 00 00 
20 00 00 00 3 
0X88 8 0000-00-06 文件 标志 为 0X20, 即 归档 文件 


& 大 话 数据 恢复 


续 表 

字 节 | 字 节 值 a 

偏 移 | 数 | 十 进 制 | 十 六 进 制 | 存储 形式 

0X90 1 8 8 08 文件 名 长 度 为 8 个 Unicode 码 

0X91 1 3 1 03 文件 命名 空间 为 03 

0X92 | 10 文件 名 为 a000. txt 

0OXA2 | 6 0 0 不 足 8 的 倍数 填充 00 至 8 的 倍数 

| en | 第 2 一 19 个 索引 项 ,结构 与 第 1 个 索引 项 相同 
OX7F8 | 8 00 di 未 定义 

00 00 00 00 

OX800 | 2 16 10 10 00 本 索引 项 的 长 度 为 16 字 节 
OX802 | 2 0 0 00 00 内 容 长 度 
OX804 | 2 2 2 02 00 标志 ,为 0002 表示 列表 的 最 后 一 项 
OX806 | 2 0 0 00 00 未 使 用 


通过 对 0 号 索引 节点 的 分 析 可 知 ,在 该 节点 中 存储 的 文件 名 范围 为 a000. txt 一 a037. txt， 
共计 38 个 。 其 中 : 有 效 文件 名 范围 为 a000. txt 一 a018. txt, 共 计 19 个 ; 而 无 效 文件 名 范围 为 
a019. txt 一 a037. txt, 共 计 19 个 ; 1 一 6 号 .8 一 10 号 索引 节点 存储 的 文件 名 请 读者 自行 分 析 。 


6.6.4 非 叶 节点 


非 叶 节 点 主要 由 非 叶 节点 头 ` 有 效 索引 项 十 有 效 指针 、 非 叶 节 点 结束 标志 和 无 用 数据 4 部 分 
组 成 。 非 叶 节 点 头 的 大 小 一 般 为 64 字 节 , 有 效 索引 项 十 有 效 指针 的 数量 一 般 在 0 至 42 个 之 间 ， 
非 叶 节点 结束 标志 为 “18 00 00 00 03 00 00 00 十 有 效 指 针 ”, 无 用 数据 区 域 也 可 能 存储 一 些 索 引 
项 十 指针 ,但 由 于 存储 在 结束 标志 之 后 ,所 以 ,在 无 用 数据 区 域 存储 的 “索引 项 十 指针 无效 。 

非 叶 节点 结构 大 致 如 图 6. 56 所 示 ,在 图 6. 56 中 , 非 叶 节点 所 存储 的 索引 项 总 数 为 m+n 
个 ,存储 的 指针 总 数 为 m 十 n 十 2 个 。 其 中 : 从 非 叶 节点 头 至 第 1 个 “18 00 00 00 03 00 00 00 十 
有 效 指针 mm 十 1”( 存 储 形式 ) 之 间 存 储 的 “索引 项 十 指针 ”有 效 。 所 以 ,在 非 叶 节点 中 ,存储 的 有 
效 索 引 项 数量 为 m 个 ,而 存储 的 有 效 指针 数量 为 m 十 1 个 。 当 非 叶 节点 中 存储 的 索引 项 数量 


为 0, 而 该 文件 夹 记录 BOH 属性 值 记 录 该 节点 二 进 制 位 的 值 为 1 时 ,该 非 叶 节 点 只 存储 1 个 
指针 。 非 叶 节点 索引 项 结构 见 表 6.73 所 列 。 
以 “INDX" 开 头 的 前 64 字 节 ( 注 : 字 节 偏 移 0X24 的 值 为 01) 非 叶 节点 头 
有 效 索 引 项 1 十 有 效 指针 1 
有 效 索 引 项 2 十 有 效 指针 2 有 效 索 引 项 
` 与 有 效 指针 


有 效 索 引 项 mm 十 有 效 指针 m 

第 1 个 “18 00 00 00 03 00 00 00 有 效 指针 m 十 1”( 存 储 形式 ) 非 叶 节点 结束 标志 
无 效 索引 项 1 十 无 效 指针 1 

x 注 : 在 有 的 非 叶 节点 中 ， 


无 效 索 引 项 十 无 效 指针 n 不 一 定 存在 无 效 索引 项 
18 00 00 00 03 00 00 00( 存 储 形式 ) 无 效 指针 n 十 1 和 无 效 指 针 
无 用 数据 


图 6.56 非 叶 节点 结构 图 


第 6 章 NTFS 文 件 系统 D 


表 6.73 非 叶 节点 索引 项 结构 
字 节 偏 移 | 字 节 数 & Xx 备注 


0X40 8 文件 记录 号 和 序列 号 

0X48 2 索引 项 大 小 (单位 : FH) 

OX4A 2 文件 名 属性 体 大 小 (单位 : 字 节 ) 

0X4C 2 索引 标志 ,此 处 为 0X0001 

OX4E 2 填充 到 8 字 节 (无 意义 ) 

0X50 8 父 目 录 记 录 号 和 序列 号 

OX58 8 文件 建立 的 日 期 时 间 第 

0X60 8 文件 修改 的 日 期 时 间 1 

0X68 8 | 文件 记录 改变 的 日 期 时 间 + 

0X70 8 文件 最 后 访问 的 日 期 时 间 索 

0X78 8 文件 分 配 大 小 (单位 : 字 节 ) 引 

0X80 8 文件 实际 大 小 (单位 : 字 节 ) 项 

0X88 8 文件 标志 , 即 只 读 、 隐 藏 等 

0X90 1 文件 名 长 度 (假设 文件 名 的 长 度 为 变量 F) 

0X91 1 文件 命名 空间 

0X92 2XF | 文件 名 

0X92+2X F P 填充 到 8 字 节 (无 意义 ) 
0X92+2X F+ P 8 索引 文件 名 后 的 指针 , 即 子 节点 索引 节点 编号 

| 第 2 个 至 第 m 个 索引 项 ,结构 与 第 1 个 索引 项 相同 
8 总 是 为 00 最 
2 本 索引 项 的 长 度 ,一般 为 0X0018 ,存储 形式 为 18 00 E 
2 | 内 容 长 度 , 一 般 为 0 * 
2 标志 ,为 0003 表示 有 子 节点 编号 引 
2 未 使 用 项 
8 指针 , 即 子 节点 索引 节点 编号 ,此 子 节点 索引 编号 以 后 的 文件 名 无 效 


例 6.34 在 例 6.33 中 ,从 H 盘 260 号 记录 的 90H 属性 可 知 ,7 号 索引 节点 ( 即 24931 号 
簇 ) 为 非 叶 节点 ,7 号 索引 节点 内 容 如 图 6.57 所 示 ; 7 号 索引 节点 头 结 构 说 明 见 表 6. 74 所 列 ， 
而 第 1 个 索引 项 结构 说 明 见 表 6. 75 所 列 ,7 号 索引 节点 存储 的 文件 名 项 及 指针 见 表 7. 76 所 
列 ,而 a80 文件 夹 中 各 索引 节点 存储 的 文件 名 见 表 6.77 所 列 。 


Offset 01234567 89ABCDEF 
06163000 49 4E 44 58 28 00 09 00 46 El 11 00 00 00 00 00 
06163010 07 00 00 00 00 00 00 00 28 00 00 00 30 04 00 00 
06163020 E8 OF 00 00 01 00 00 00 {02 0_00 00 00 [00 O| 全 
06163030 0 0 00 00 0 00 00 00 00 00 00 
06163040 18 01 00 00 00 00 01 00 70 00 52 00 01 00 00 00 
06163050 04 01 00 00 00 00 01 00 46 65 EC 04 E4 61 DO 01 
06163060 00 D4 1F D7 61 4B CC 01 46 65 EC 04 E4 61 DO 01 
06163070 46 65 EC 04 E4 61 DO 01 00 00 00 00 00 00 00 00 


06163080 a019q 后 的 指针 0 00 00 20 00 00 00 00 00 00 00 ........ ....... 
06163090 =Q0 31 00 39 00 2E 00 7400 7800 ..a.0.1.9...t.x. 
061630A0 74 00 00 00 00 00 00 00—p0 00 00 00 00 00 00 00  t............... 
... QE: 省 略 了 a039. txt, a059. txt 等 索引 项 ) 
图 6.57 24931 54 (El 7 号 索引 节点 ) 存 储 的 内 容 


& 大 话 数据 恢复 


061633C0 
061633D0 
061633E0 
061633F0 
06163402 
061634 


aa reag 00 00 
al79.txt 后 的 指针 JO 37 00 


B8 01 00 00 00 00 01 00 
04 01 00 00 00 00 01 00 
00 D4 1F D7 61 4B CC 01 
07 C2 01 05 E4 61 DO 01 


70 00 52 00 01 00 00 00 
07 C2 01 05 E4 61 DO 01 
07 C2 01 05 E4 61 DO 01 
00 00 00 00 00 00 02 00 
20 00 00 00 00 00 00 00 
39 00 2E 00 74 00 78 00 


06163420 74 00 00 00 00 00 

06163430 00 00 00 00 00 00 00 00 指针 

06163440 000000 00 00 00 00 00 _............... 

6.57 ( 续 ) 
表 6.74 7 号 非 叶 节点 头 结构 说 明 
字 节 | 字 节 t a 间 
偏 移 | 数 | 十 进 制 | 十 六 进 制 | 存储 形式 
0X00 4 494E4458 | 索引 节点 头 标志 ,总 是 “INDX” 
0X04 z 40 28 28 00 更 新 序列 号 的 偏 移 为 0X28 
0X06 2 9 9 09 00 更 新 序列 号 数量 为 1 ,更 新 数组 有 8 个 
0X08 8 | 1171782 | 11E146 机 日 志文 件 序列 号 为 0X11E146 
00 00 00 00 
07 00 00 00 
0X10 8 7 07 G0 a op 00 本 索引 节点 编号 为 07 
0X18 4 40 28 28 00 00 00 | 索引 入 口 偏 移 ( 相 对 于 0X18) 
0X1C 4 1072 430 30 04 00 00 | 索引 入 口 大 小 为 0X0430 * 
0X20 4 4072 OFE8 E8 OF 00 00 | 索引 入 口 分 配 大 小 为 0X0FE8 字 节 
0X24 1 1 01 01 01: 非 叶 节点 
0X25 3 0 0 00 00 00 用 oo 填充 
0X28 2 2 2 02 00 更 新 序列 号 为 02 
OX2A | 2 0 0 00 00 用 该 值 去 更 新 第 1 个 扇 区 最 后 两 个 字 节 的 值 
0X2C | 2 0 0 00 00 用 该 值 去 更 新 第 2 个 扇 区 最 后 两 个 字 节 的 值 
OX2E | 2 0 0 00 00 用 该 值 去 更 新 第 3 个 扇 区 最 后 两 个 字 节 的 值 
0x30 | 2 0 0 00 00 用 该 值 去 更 新 第 4 个 扇 区 最 后 两 个 字 节 的 值 
0X32 | 2 0 0 00 00 用 该 值 去 更 新 第 5 个 扇 区 最 后 两 个 字 节 的 值 
0X34 | 2 0 0 00 00 用 该 值 去 更 新 第 6 个 扇 区 最 后 两 个 字 节 的 值 
0X36 | 2 0 0 00 00 用 该 值 去 更 新 第 7 个 扇 区 最 后 两 个 字 节 的 值 
0X38 2 0 0 00 00 用 该 值 去 更 新 第 8 个 扇 区 最 后 两 个 字 节 的 值 
表 6.75 7 号 非 叶 节点 第 1 个 索引 项 结构 说 明 
值 

字 节 | 字 节 # x 
偏 移 | 数 | 十 进 制 | 十 六 进 制 | 存储 形式 
0X40 6 280 118 ü i iai a019. txt 文件 的 ID 号 为 0X0118 
0X46 2 1 01 01 00 文件 序列 号 , 即 文件 被 使 用 或 删除 的 次 数 为 1 次 
0x48 | 2 112 0070 70 00 索引 项 的 大 小 为 0X70 字 节 
OX4A | 2 82 0052 52 00 文件 名 属性 体 大 小 为 0X52 字 节 
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续 表 
字 节 | 字 节 值 SS 
偏 移 | 数 | 十 进 制 | 十 六 进 制 | 存储 形式 
0X4C 2 1 01 01 00 索引 标志 为 01 
0OX4E | 2 0 00 00 00 填充 到 8 字 节 (无 意义 ) 
0X50 6 260 104 upan 父 目 录 的 ID 号 为 0X104 
00 00 
0X56 A 1 01 01 00 父 目 录 被 使 用 或 删除 的 次 数 为 1 次 
46 65 EC 04 
0X58 8 Bierma 文件 建立 的 日 期 时 间 为 2015-03-19 01:28:35 
00 D4 1F D7 
0X60 8 A 文件 修改 的 日 期 时 间 为 2011-07-26 07:01:28 
46 65 EC 04 、 
0X68 8 Bieito 文件 记录 改变 的 日 期 时 间 为 2015-03-19 01:28:35 
46 65 EC 04 、 
0X70 8 es 文件 最 后 访问 的 日 期 时 间 为 2015-03-19 01:28:35 
00 00 00 00 
0X78 | 8 0 0 00000000 文件 分 配 大 小 为 0 字 节 
oxso | 8 o o [00000000 | 文件 实际 大 小 为 0 字 节 
00 00 00 00 
0X88 8 32 ey 文件 标志 为 0X20, 即 归档 文件 
00 00 00 00 
0X90 1 8 8 08 文件 名 长 度 为 8 个 Unicode 码 
0X91 1 3 3 03 文件 命名 空间 为 03 
0X92 | 10 文件 名 为 a019. txt 
OXA2 | 6 0 0 0 不 足 8 的 倍数 填充 00 至 8 的 倍数 
OXA8 | 8 0 0 | a019. txt 文件 名 后 的 指针 号 为 00 
00 00 00 00 
e... |... | osooso | soosoo | oo 第 2 一 9 个 索引 项 ,结构 与 第 1 个 索引 项 相同 
0X430 | 8 0 00 ot 未 定义 
00 00 00 00 
0X438 | 2 24 18 18 00 本 索引 项 的 长 度 为 24 字 节 
0X43A | 2 0 0 00 00 内 容 长 度 
OX43C | 2 3 3 03 00 标志 ,为 0003 表示 列表 的 最 后 一 项 
OX43E | 2 0 0 00 00 未 使 用 
0X440 | 8 10 0A 下 指针 号 为 0X0A 
00 00 00 00 


表 6.76 24931 S (BD 7 号 非 叶 节点 ) 存 储 的 文件 名 及 指针 
文件 名 文件 名 后 的 指针 文件 名 文件 名 后 的 指针 文件 名 文件 名 后 的 指针 


a019. txt 0 a099. txt 4 a179. txt 9 
a039. txt 1 a119. txt 5 10 
a059. txt 2 a139. txt 6 
a079. txt 3 a159. txt 8 


& 大 话 数 据 恢复 


36.77 a80 文件 夹 各 索引 节点 存储 的 文件 名 情况 表 


EN vN 索引 节 存储 的 有 效 存储 的 无 效 节点 节点 
点 号 文件 名 范围 文件 名 范围 类 型 状态 
24924 0 0 a000. txt 一 a018. txt a019. txt 一 a037. txt 叶 节点 已 使 用 
24925 1 1 a020. txt—a038. txt a039. txt 一 a057. txt 叶 节 点 已 使 用 
24926 2 $ a040. txt 一 a058. txt a059. txt 一 a077. txt 叶 节点 已 使 用 
24927 3 3 a060. txt 一 a078. txt a079. txt 一 a097. txt 叶 节点 已 使 用 
24928 4 4 a080. txt 一 a098. txt a099. txt—a117. txt 叶 节 点 已 使 用 
24929 5 5 al00. txt~all8. txt al19. txt~al37. txt 叶 节 点 已 使 用 
24930 6 6 al20. txt 一 a138. txt al39. txt 一 a157. txt 叶 节 点 已 使 用 
24931 见 表 6.76 所 列 非 叶 节点 ”已 使 用 
24932 8 8 al40. txt~al58. txt al59. txt 一 a177. txt 叶 节 点 已 使 用 
24933 9 9 a160. txt 一 a178. txt al79. txt 一 a197. txt 叶 节 点 已 使 用 
24934 10 10 a180. txt 一 a199. txt 叶 节 点 已 使 用 
24935 11 未 使 用 


6.7 NTFS 对 索引 目录 的 管理 方式 


为 了 更 好 地 让 读者 掌握 NTFS 是 采用 B 一 树 结构 对 索引 目录 进行 管理 ,下 面 先 对 B 一 树 
的 定义 及 特征 进行 介绍 。 


6.7.1 B- 树 的 定义 及 特征 


B 一 树 是 一 种 平衡 的 多 又 树 ,一 棵 m 阶 的 B 一 树 满足 下 列 条 件 : 

(1) 每 个 节点 至 多 有 m 个 孩子 。 

(2) 除根 节点 和 叶 节点 外 ,其 他 每 个 节点 至 少 有 [m/2 | 个 孩子 。 

(3) 根 节点 至 少 有 两 个 孩子 (唯一 例外 的 是 只 包含 一 个 根 节 点 的 B 一 树 ) 。 

(4) 所 有 的 叶 节 点 在 同一 层 , 叶 节点 不 包含 任何 关键 字 信息 。 

G) 有 开 个 孩子 的 非 叶 节 点 恰好 包含 开 一 1 个 关键 字 。 

在 B 一 树 中 每 个 节点 的 关键 字 从 小 到 大 排列 。 因 为 叶 节 点 不 包含 关键 字 , 所 以 , 叶 节 点 实 
际 上 是 树 中 并 不 存在 的 外 部 节点 , 且 指 向 这 些 外 部 节点 的 指针 为 空 , 叶 节点 的 总 数 正好 等 于 树 
中 所 包含 的 关键 字 总 个 数 加 1。 见 参考 文献 [13 ,207-208]。 


6.7.2 B 一 树 在 NTFS 索引 目录 管理 中 的 应 用 
NTFS 文件 系统 采用 B 一 树 结构 对 文件 夹 中 的 文件 进行 管理 ,文件 夹 中 的 文件 ( 夹 ) 名 分 


别 存储 在 文件 夹 记录 90H 属性 和 各 个 索引 节点 中 。 下 面 分 别 以 实例 的 形式 介绍 NTFS 对 索 
引 目 录 的 管理 。 


第 6 章 “NTEFS 文 件 系统 


例 6.35 H Æ A05 文件 夹 记录 号 为 15414, 文 件 夹 内 容 为 空 ,B 一 树 结构 如 图 6. 58 所 示 。 
这 是 一 棵 空 的 B 一 树 结构 。 

例 6.36 H Æ abcd 文件 夹 记录 号 为 11866, 在 该 文件 夹 中 存储 了 4 个 文件 夹 ,文件 夹 名 
分 别 为 abcdl1、abcd2、abcd3 和 abcd4, 这 4 个 文件 夹 名 均 存储 在 11866 号 记录 的 90H 属性 中 ， 
B 一 树 结构 如 图 6. 59 所 示 , 这 是 一 棵 只 有 一 个 节点 的 B 一 树 结构 。 


909 属 性 90H 属 性 
abcdl 、abcd2 、abcd3 、abcd4 
6.58 A05 文件 夹 的 B 一 树 结构 图 6.59 abcd 文件 夹 的 B 一 树 结构 图 


例 6.37 H Ëkal6 文件 夹 记录 号 为 35, 在 该 文件 夹 中 存储 了 16 个 文件 ,文件 名 为 a00. 
txt~~al5. txt, 这 16 个 文件 名 存储 在 0 号 索引 节点 中 ,0 号 索引 
节点 的 位 置 由 35 号 记录 A0H 属性 的 数据 运行 列表 确定 ( 注 : 数 
据 运行 列表 为 "21 01 53 61”), M 0 号 索引 节点 的 位 置 在 24915 0 


(0X6153) 88. WL 35 号 记录 BOH 属性 值 为 “01”, 即 0 号 索引 节 
点 为 有 效 节 点 ,B 一 树 结构 如 图 6. 60 所 示 。 
这 是 一 个 只 有 2 个 节点 的 B 一 树 结构 。90H 属性 为 根 节点 ， Meme 


在 90H 属性 中 存储 一 个 指针 ( 注 : 指针 号 为 0) ,0 个 索引 文件 名 ; 6.60 al6 文件 夹 的 B 一 
这 与 B 一 树 的 定义 “(3) 根 节点 至 少 有 两 个 孩子 (唯一 例外 的 是 只 树 结构 图 
包含 一 个 根 节点 的 B 一 树 )” 不 相符 ,但 可 以 用 B 一 树 的 定义 “(5) 
A K 个 孩子 的 非 叶 节点 恰好 包含 一 1 个 关键 字 ” 来 解释 。 此 时 ,K 二 1, 即 90H 属性 为 非 叶 
节点 ,有 1 个 孩子 ( 即 1 个 指针 ,指针 号 为 0) ,包含 0 个 关键 字 ( 即 0 个 索引 文件 名 ) 。 

例 6.38 H #a42 文件 夹 记录 号 为 84, 在 该 文件 夹 中 存储 42 个 文件 ,文件 名 为 a00. txt 一 
a41. txt, 这 42 个 文件 名 分 别 存储 在 84 号 记录 90H 属性 、0 号 索引 节点 和 1 号 索引 节点 中 。 

84 号 记录 A0H 属性 的 数据 运行 列表 为 “21 02 55 61”,0 号 索引 节点 和 1 号 索引 节点 所 在 
位 置 见 表 6.78 所 列 。 


90H 属 性 


表 6.78 a42 文件 夹 的 0 号 和 1 号 索引 节点 所 存储 的 文件 名 


地 址 0X06315228(202921 号 扇 区 偏 移 地 址 为 0X28) 
十 六 进 制 值 03 
BOH 属性 二 进 制 位 | Bit Bite Bits Bit Bit Bit Bit Bito 
BOH 属性 二 进 制 值 | 0 0 0 0 0 0 1 1 
LCN 24918 24917 
VCN 1 0 
索引 节点 号 1 0 
索引 节点 状态 未 用 未 用 未 用 未 用 未 用 未 用 有 效 有 效 
存储 文件 名 a21. txt~a4l. txt a00. txt~al9. txt 


& 大 话 数据 恢复 


84 号 记录 90H 属性 存储 的 文件 名 为 a20. txt, 指 针 号 为 0 和 1, 如 图 6.61 所 示 。 
而 BOH 属性 值 为 "03”, 即 0 号 索引 节点 和 1 号 索引 节点 为 有 效 叶 节点 。B 一 树 结构 如 
图 6. 62 所 示 。 


90H 属 性 
a20.txt 
0 1 

节点 位 置 一 一 90H 属 性 Fa W 

文件 名 一 | a20txt | 0 1 

指针 号 一 一 ° | 1 a00.txt~a19.txt a21.txt~a41.txt 

6.61 84 号 记录 90H 属性 存储 的 文件 名 及 指针 6.62 a42 文件 夹 的 B 一 树 结构 图 

说 明 : 


(1) 这 是 一 个 只 有 3 个 节点 的 B 一 树 结 构 。90H 属性 为 根 节点 ,存储 1 个 文件 名 ( 注 : 文 
件 名 为 a20. txb 和 2 个 指针 ( 注 : 指针 号 为 0 和 1); 这 与 B 一 树 的 定义 “(3) 根 节点 至 少 有 两 个 
孩子 (唯一 例外 的 是 只 包含 一 个 根 节点 的 B 一 树 )” 相 符 , 也 符合 B 一 树 的 定义 “(5) 有 个 孩子 
的 非 叶 节点 恰好 包含 一 1 个 关键 字 ”, 此 时 ==2, 即 90H 属性 为 非 叶 节 点 ,有 两 个 孩子 ( 注 : 
孩子 为 0 和 1), 恰 好 包含 1 个 关键 字 ( 注 : 关键 字 为 a20. txt). 

(2) 在 0 号 索引 节点 和 1 号 索引 节点 中 , 均 未 发 现 90H 属性 中 的 索引 文件 名 a20. txt, 这 
与 B 一 树 的 定义 “(4) 所 有 的 叶 节 点 在 同一 层 , 叶 节点 不 包含 任何 关键 字 信息 ”相符 。 

例 6.39 在 例 6.33 rh xF H 盘 的 a80 文件 夹 ( 注 : a80 文件 夹 记 录 号 为 260) 中 的 0 号 索引 
节点 和 ?7 号 索引 节点 进行 了 分 析 , 但 对 B 一 树 结构 未 进行 分 析 。 在 该 文件 夹 中 ,存储 200 个 文 
件 ( 注 : 文件 名 为 a000. txt 一 al99. txt), fE 260 号 记录 90H 属性 中 只 存储 一 个 索引 节点 号 
GÈ: 索引 节点 号 为 7)。 在 7 号 非 叶 节点 中 存储 了 9 个 索引 文件 名 和 10 个 指针 , 见 表 6.79 所 
列 ; 0 一 6、8 一 10 号 叶 节点 存储 的 文件 名 , 见 表 6. 80 所 列 。 


表 6.79 7 号 非 叶 节 点 存储 的 文件 名 及 指针 
文件 名 文件 名 后 指针 文件 名 文件 名 后 指针 文件 名 文件 名 后 指针 


a019. txt 0 a099. txt 4 a179. txt 9 
a039. txt 1 a119. txt 5 a. 200. txt 10 
a059. txt 2 a139. txt 6 
a079. txt 3 a159. txt 8 


表 6.80 0—6.8—10 号 叶 节点 存储 的 文件 名 


节点 号 存储 的 文件 名 节点 号 存储 的 文件 名 节点 号 存储 的 文件 名 
a000. txt 一 a018. txt 
a020. txt—a038. txt 


a080. txt~a098. txt 9 a160. txt 一 a178. txt 
al00. txt 一 al118. txt 10 a180. txt 一 a199. txt 


a040. txt~a058. txt a120. txt 一 a138. txt 


@ nm o 
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a060. txt~a078. txt al40. txt 一 a158. txt 
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而 260 号 记录 BOH 属性 的 值 为 “FF 07”, 所 表示 的 节点 状态 见 表 6. 81 所 列 。 


表 6.81 a80 文件 夹 索 引 节 点 状态 表 


地 H 0X063411C0(203272 号 扇 区 偏 移 地 址 为 0X01C0) 
十 六 进 制 值 FF 
BOH 属性 二 进 制 位 Bit; Bits Bit; Bit, Bit; Bit; Bit Bito 
BOH 属性 二 进 制 值 t 1 1 1 1 Í 1 1 
LCN 24931 24930 24929 24928 24927 24926 24925 24924 
VCN 7 6 5 4 3 š i 0 
索引 节点 号 z 6 5 4 3 2 1 0 
索引 节点 状态 有 效 有 效 有 效 有 效 有 效 有 效 有 效 有 效 
地 址 0X063411C1(203272 号 扇 区 偏 移 地 址 为 0X01C1) 
十 六 进 制 值 07 
BOH 属性 二 进 制 位 Bit; Bits Bits Bit, Bit; Bit, Bit, Bito 
BOH 属性 二 进 制 值 0 0 0 0 0 Í i 1 
LCN 24935 24934 24933 24932 
VCN 11 10 9 8 
索引 节点 号 10 9 8 
索引 节点 状态 未 用 未 用 未 用 未 用 未 用 有 效 有 效 有 效 


根据 260 号 记录 90H 属性 中 存储 的 索引 节点 号 和 各 索引 节点 中 存储 的 文件 名 ,可 以 画 出 
a80 文件 夹 的 B 一 树 结构 ,如 图 6. 63 所 示 。 


90H 属 性 


1 
T 
a019.txt | a039.txt | a059.txt | a079.txt | a099.txt | al19.txt | al39.txt | a159.txt | al79.txt 
0 1 2 3 4 5 6 8 9 10 
0 1 2 3 | 4 5 6 8 9 10 
a000.txt~ || a020.txt~ || a040.txt~ || a060.txt~ || a080.txt~ || a100.txt~ || a120.txt~ || a140.txt~ || a160.txt~ || a180.txt~ 
a018.txt a038.txt || a058.txt || a078.txt || a098.txt || all8.txt || al38.txt || al58.txt || al78.txt || al99.txt 
图 6.63 a80 文件 夹 索引 目录 的 B 一 树 结构 图 


对 图 6.63 说 明 如 下 : 
(1) 在 a80 文件 夹 中 存储 200 个 文件 ,文件 名 为 a000. txt~al99. txt; 这 200 个 文件 名 分 
别 存储 在 0 一 10 号 节点 中 。 
(2) 在 260 号 记录 ( 即 a80 文件 夹 的 记录 )90H 属性 中 存储 0 个 索引 文件 名 和 1 个 索引 节 


会 大 话 数据 恢复 


点 号 (索引 节点 号 为 7) ,该 节点 为 非 叶 节点 ; 该 节点 只 有 1 个 孩子 。 这 与 B 一 树 中 “(5) 有 K 个 
孩子 的 非 叶 节点 恰好 包含 KK 一 1 个 关键 字 ” 相 吻合 ,此 时 K 等 于 1; 这 与 B 一 树 的 定义 “(3) 根 
节点 至 少 有 两 个 孩子 ”不 相符 。 

(3) 在 7 号 非 叶 节点 中 存储 了 9 个 索引 文件 名 ( 即 9 个 关键 字 ) 和 10 个 指针 ( 即 10 个 孩 
T) ,所 存储 的 索引 文件 名 及 指针 见 表 6. 79 所 列 ,该 节点 为 非 叶 节点 。 这 与 B 一 树 中 “(5) 有 K 
个 孩子 的 非 叶 节点 恰好 包含 KK 一 1 个 关键 字 ” 相 吻合 ,此 时 K 等 于 10。 

(4) 0 一 6 号 .8 一 10 号 索引 节点 为 叶 节 点 ,在 这 10 个 叶 节 点 中 均 未 发 现 非 叶 节点 ( 即 7 号 
节点 ) 所 存储 的 索引 文件 名 ,这 与 B 一 树 中 *(4) 所 有 的 叶 节点 在 同一 层 , 叶 节点 不 包含 任何 关 
键 字 信 息 ” 相 吻合 。 

(5) 在 每 个 节点 中 ,索引 文件 名 均 是 按 从 小 到 大 的 顺序 排列 。 

(6) 叶 节 点 的 总 数 为 10 ,而 树 中 所 包含 的 关键 字 总 数 为 9, 这 与 “ 叶 节 点 的 总 数 正好 等 于 
树 中 所 包含 的 关键 字 总 个 数 加 1” 相 吻合 。 

通过 对 例 6. 35 一 例 6. 39 的 实例 分 析 , 可 以 初步 得 出 这 样 一 个 结论 : NTFS 对 索引 目录 的 
管理 是 采用 B 一 树 结构 ,但 并 不 是 一 个 标准 的 B 一 树 结构 。 


6.8 根 目 录 的 结构 


在 6. 5.6 节 中 对 元 文件 $ MFT 的 5 号 记录 ( 即 根 目录 记 录 ) 进 行 了 介绍 ,但 对 根 目录 的 索 
引 结构 未 作 分 析 , 从 元 文件 $MEFT 的 5 号 记录 AOH 属性 数据 运行 列表 (数据 运行 列表 为 
“11 01 2C 21 01 85 46”) 可 知 , 根 目录 共有 2 个 索引 节点 ,占用 能 号 分 别 为 44( 即 0 号 索引 节 
点 ) 和 18097( 即 1 号 索引 节点 ) 。 

例 6.40 在 资源 管理 器 下 ,H 盘 根 目录 下 所 存储 的 文件 夹 及 文件 如 图 6. 64 所 示 。 
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6.64 开盘 根 目录 存储 的 文件 夹 及 文件 


从 资源 管理 器 可 知 ,H 盘 根 目 录 存 储 27 个 文件 ( 夹 ) 。 而 在 根 目录 下 还 有 13 个 元 文件 ( 属 
性 为 系统 .隐藏 ) ,所 以 在 根 目录 下 存储 的 文件 ( 夹 ) 共 有 40 个 ,这 40 个 文件 ( 夹 ) 名 分 别 存储 在 
5 号 记录 的 90H 属性 、0 号 索引 节点 和 1 号 索引 节点 中 。 

0 号 索引 节点 存储 的 文件 ( 夹 ) 名 具体 情况 如 图 6. 65 所 示 ( 注 : 无 用 数据 已 被 删除 ) ,从 
图 6.65 可 知 ,在 0 号 索引 节点 中 存储 了 20 个 文件 ( 夹 ) 名 , 详 见 表 6. 82 所 列 。 


Offset 

0002C000 
0002C010 
0002C020 
0002C030 
0002C040 
0002C050 
0002C060 
0002C070 
0002C080 
0002C090 
0002C0A0 
0002C0B0 
0002C0C0 
0002C0D0 
0002C0F0 
0002C0F0 
0002C100 
0002C110 
0002C120 
0002C130 
0002C140 
0002C150 
0002C160 
0002C170 
0002C180 
0002C190 
0002C1A0 
0002C1B0 
0002C1C0 
0002C1D0 
0002C1E0 
0002C1F0 
0002C200 
0002C210 
0002C220 
0002C230 
0002C240 
0002C250 
0002C260 
0002C270 
0002C280 
0002C290 
0002C2A0 
0002C2B0 
0002C2C0 
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0002C310 
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u 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 


01 


00 
00 


00 00 00 00 00 00 


图 6.65 根 目录 0 号 索引 节点 


kz 
04 
05 
00 
00 
00 
08 
66 
68 
00 
00 
00 
00 
64 
06 
05 
00 
00 
00 
07 
07 
05 
00 


00 
00 
00 
00 
00 
00 
03 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
03 
00 
00 
00 


00 00 00 
00 00 00 
00 00 00 
00 00 00 
00 00 00 
00 00 00 
24 00 41 
00 00 00 
52 00 00 
00 00 00 
00 00 00 
00 00 00 
00 00 00 
43 00 6C 
00 00 00 
00 00 00 
00 00 00 
00 00 00 
00 00 00 
24 00 42 
00 00 00 
00 00 00 
00 00 00 


00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 


00 
04 
05 
00 
00 
00 
74 
00 
00 
00 
00 
00 
00 
75 
06 
05 
00 
00 
00 
69 
07 
05 
00 


00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 


00 00 00 00 00 00 00 00 
00 00 00 00 00 00 00 00 
05 03 24 00 42 00 6F 00 
OB 00 00 00 00 00 OB 00 


00 


E 29 A3 F6 E3 61 
29 A3 F6 E3 61 


00 
03 
00 


00 


00 00 00 
24 00 45 
00 00 00 
00 00 00 
00 00 00 
00 00 00 


00 00 00 
00 00 00 
00 00 00 


00 00 00 00 00 


00 


00 
00 
00 
00 


DO 
DO 
00 
78 
02 
05 
00 
00 
00 


00 
00 
DO 


01 
01 
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INDX(. . . @Dh. 
E @.. 
meds 


..$.B.a. d. C. 1. u. 


ð t: 
9 
.)v 铀 ?.) vá? 
.)v 铀 ?.) vá? 


@ 大 话 数据 恢复 


0002C360 
0002C370 
0002C380 
0002C390 
0002C3A0 
0002C3B0 
0002C3C0 
0002C3D0 
0002C3E0 
0002C3F0 
0002C400 
0002C410 
0002C420 
0002C430 
0002C440 
0002C450 
0002C460 
0002C470 
0002C480 
0002C490 
0002C4A0 
0002C4B0 
0002C4C0 
0002C4D0 
0002C4E0 
0002C4F0 
0002C500 
0002C510 
0002C520 
0002C530 
0002C540 
0002C550 
0002C560 
0002C570 
0002C580 
0002C590 
0002C5A0 
0002C5B0 
0002C5C0 
0002C5D0 
0002C5E0 
0002C5F0 
0002C600 
0002C610 
0002C620 
0002C630 
0002C640 
0002C650 
0002C660 
0002C670 
0002C680 
0002C690 
0002C6A0 
0002C6B0 
0002C6C0 
0002C6D0 
0002C6E0 


08 03 24 00 4D 00 


72 00 00 
70 00 5A 
14 82 4F 
14 82 4F 
00 00 00 
06 00 00 
43 00 59 
4E 00 50 
60 00 50 
2E 29 A3 
2E 29 A3 
00 00 00 
06 00 00 
63 00 75 
60 00 50 
00 00 00 
00 00 00 
00 00 00 
00 00 00 


00 
00 
09 
09 
00 
10 
00 
00 
00 
F6 
F6 
00 
20 
00 
00 
00 
00 
00 
00 


00 00 
00 00 
OF 65 
OF 65 
00 00 
00 00 
43 00 
00 00 
00 00 
E3 61 
E3 61 
00 00 
00 00 
72 00 
00 00 
00 00 
00 00 
00 00 
00 00 


46 
00 
00 
D0 
D0 
00 
00 
4C 
00 
00 
D0 
D0 
00 
00 
65 
00 
00 
00 
00 
00 


00 54 00 4D 00 69 00 72 00 
00 5A 3C 00 00 00 00 09 00 
00 05 00 00 00 00 00 05 00 
01 14 82 4F 09 OE 65 DO 01 
01 14 82 4F 09 OE 65 DO 01 
00 00 00 00 00 00 00 00 00 
00 0C 03 24 00 52 00 45 00 
00 45 00 2E 00 42 00 49 00 
00 09 00 00 00 00 00 09 00 
00 05 00 00 00 00 00 B9 OO 
01 2E 29 A3 F6 E3 61 DO 01 
01 2E 29 A3 F6 E3 61 DO 01 
00 00 00 00 00 00 00 00 00 
00 07 03 24 00 53 
00 QA 00 00 00 00 
00 05 00 00 00 00 
00 00 00 00 00 00 
00 00 00 00 00 00 
00 00 00 00 00 00 
00 07 03 24 00 55 


43 00 61 
60 00 50 
00 00 00 
00 00 00 
00 00 00 
00 00 00 
6C 00 75 
58 00 44 
2E 29 A3 


00 00 00 
06 00 00 
64 3C 00 
05 00 00 
EO 64 11 
7C DD 00 
00 DC 02 
07 03 61 
34 3C 00 
05 00 00 
00 B2 DF 


A5 4F 9F OE E4 61 DO 01 00 60 00 00 00 00 B9 09 


00 
00 
00 
00 
00 
00 
00 
00 
F6 
ED 
00 
10 
00 
00 
81 
81 
00 
00 
00 
00 
25 


73 00 
00 00 
00 00 
00 00 
00 00 
00 00 
6D 00 
00 00 
E3 61 
67 C3 
00 00 
00 00 
00 00 
00 00 
OF 65 
OF 65 
00 00 
30 00 
00 00 
00 00 
33 13 


65 
00 
00 
00 
00 
00 
65 
00 
DO 
DO 
00 
00 
02 
05 
DO 
D0 
00 
31 
01 
05 
CE 


00 03 00 00 00 00 
00 05 00 00 00 00 
00 00 00 00 00 00 
00 00 00 00 00 00 
00 00 00 00 00 00 
00 07 03 24 00 56 
00 05 00 00 00 00 
00_05 00 00 00 00 
01 84 4F 77 ED 67 C3 DO 01 
01 84 4F 77 ED 67 C3 DO 01 
00 00 00 00 00 00 00 00 00 
00 01 03 2E 00 00 00 00 00 
00 60 00 50 00 00 00 00 00 
00 A5 4F 9F OE E4 61 DO 01 
01 62 5B 49 82 OF 65 DO 01 
01 00 EO 02 00 00 00 00 00 
00 20 00 00 00 00 00 00 00 
00 2E 00 64 00 6F 00 63 00 
00 60 00 50 00 00 00 00 00 
00 A5 4F 9F OE E4 61 DO 01 
01 EE 19 DF 84 OF 65 DO 01 


00 5E 00 00 00 00 00 00 20 00 00 00 00 00 00 00 


07 03 61 
35 3C 00 
05 00 00 
00 74 27 
45 D6 A0 
00 7A 00 
07 03 61 
36_3C_00 
05 00 00 
C9 67 31 
45 D6 AO 
00 00 00 
03 03 41 
58 00 48 


00 
00 
00 
41 
OE 
00 
00 
00 
00 
4B 
OE 
00 
00 
00 


30 00 
00 00 
00 00 
3E 24 
E4 61 
00 00 
30 00 
00 00 
00 00 
4F 61 
E4 61 
00 00 
30 00 
00 00 


32 
01 
05 
CE 
D0 
00 
33 
01 
05 
DO 
DO 
00 
35 
00 


00 2E 00 64 00 6F 00 63 00 
00 60 00 50 00 00 00 00 00 
00 45 D6 AO OE E4 61 DO 01 
01 A2 1D B5 87 OF 65 DO 01 
01 00 80 00 00 00 00 00 00 
00 20 00 00 00 00 00 00 00 
00 2E 00 64 00 6F 00 63 00 
00 58 00 48 00 00 00 00 00 
00 45 D6 A0 OE E4 61 DO 01 
01 45 D6 A0 OE E4 61 DO 01 
01 00 00 00 00 00 00 00 00 
00 00 00 00 10 00 00 00 00 
00 37 3C 00 00 00 00 01 00 
00 05 00 00 00 00 00 05 00 


图 6.65 ( 续 ) 


$MF.T.Mi.r. 


` Ë, 有 
.) v 铀 ?.) v$? 
.) v 889.) v$? 


X. D. z 
.) v 888? JA w WIRK. 
JEN w WPK. JEL w WIK. 


Piscis 
| 2E? 
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0002C6F0 45 D6 AO OE E4 61 DO 01 86 E3 A3 OE E4 61 D0 01 Ej. 2E7047? 
0002C700 81 57 23 43 14 A7 DO 01 86 E3 A3 OE E4 61 DO O1. W#C. Wi. 1824? 
0002C710 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ass anau qi 
0002C720 00 00 00 10 00 00 00 00 03 03 41 00 30 00 36 
0002C730 CD 01 00 00 00 00 01 00 60 00 4A 00 00 00 00 
0002C740 05 00 00 00 00 00 05 00 48 CF 04 05 E4 61 DO 
0002C750 E9 8A 12 05 E4 61 DO 01 E9 8A 12 05 E4 61 DO 
0002C760 E9 8A 12 05 E4 61 DO 01 00 00 00 00 00 00 00 
0002C770 00 00 00 00 00 00 00 00 00 00 00 10 00 00 00 
0002C780 04 03 41 00 31 00 30 00 30 00 00 00 00 00 01 
0002C790 49 07 00 00 00 00 01 00 60 00 4E 00 00 00 00 
0002C7A0 05 00 00 00 00 00 05 00 1C 7C DD 05 F4 61 DO 
0002C7BO 84 DD EA OB E4 61 DO 01 84 DD EA OB E4 61 DO 
0002C7C0 84 DD EA OB E4 61 DO 01 00 00 00 00 00 00 00 
0002C7D0 00 00 00 00 00 00 00 00 00 00 00 10 00 00 00 
0002C7E0 06 03 61 00 31 00 30 00 30 00 30 00 30 00 01 
0002C7F0 00 00 00 00 00 00 00 00 [0 00 00 00 02 00 3900) 
6.65 ( 续 ) 


表 6.82 0 号 索引 节点 存储 的 记录 号 及 文件 ( 夹 ) 名 情况 表 


记录 号 文件 ( 夹 ) 名 ”| 记录 号 文件 ( 夹 ) 名 RRS 文件 ( 夹 ) 名 || 记录 号 文件 ( 夹 ) 名 
4 $ AttrDef 0 $MFT 5 š 461 A100 
8 $ BadClus 1 $ MFTMirr 15460 a01. doc 1865 a10000 
6 $ Bitmap 15450 $ RECYCLE. BIN| 15412 a02. doc 
7 $ Boot 9 $ Secure 15413 a03. doc 
11 $ Extend 10 $ UpCase 15414 A57 
2 $ LogFile 3 $ Volume 15415 A06 


1 号 索引 节点 所 存储 的 文件 ( 夹 ) 名 具体 情况 请 读者 自己 分 析 , 存 储 的 文件 ( 夹 ) 名 见 表 6. 83 


所 列 。 
表 6.83 1 号 索引 节点 存储 的 记录 号 及 文件 ( 夹 ) 名 情况 表 

记录 号 文件 ( 夹 ) 名 ”| 记录 号 文件 ( 夹 ) 名 ”| 记录 号 文件 ( 夹 ) 名 [BRI 文件 ( 夹 ) 名 
35 al6 127 a61 11907 abcd2 15406 ”长 文件 名 
53 a30 189 a70 13395 abcd2000 

562 a300 260 a80 11942 abcd3 

863 A400 11866 abcd 11978 abcd4 

84 a42 11890 abcd1 15396 Word 

1264 A600 12094 abcd1300 15449 Word1 


录 的 


5 号 记录 90H 属性 存储 的 文件 夹 名 及 指针 ,如 图 6. 66 所 示 。 


节点 位 置 一 一 一 
文件 夹 名 一 一 一 


指针 号 一 一 


90H 属 性 


all 
0 


1 


图 6.66 5 号 记录 90H 属性 存储 的 文件 夹 名 及 指针 


根据 5 号 记录 90H 属性 、0 号 索引 节点 和 1 号 索引 节点 存储 的 文件 ( 夹 ) 名 ,可 以 画 出 根 目 
B 一 树 结构 ,如 图 6. 67 所 示 。 


@ 大 话 数据 恢复 


90H 属 性 


all 


0 Į 
$AttrDef 、$BadClus - $Bitmap 、$Boot ~ al6- a30. a300. A400. a42. A600 - 
$Extend ~ $LogFile - $MFT ~ $MFTMirr ~ a61、a70、a80 、abcd - abcdl ~ 
$RECYCLE.BIN ~ $Secure ~ $UpCase ~ abcd1 300 、abcd2 、abcd2000 、abcd3 ~ 
$Volume ~ .> a01.doc ~ a02.doc ~ a03.doc ~ abcd4 、Wrod Wordl 、 长 文件 名 
A57、 A06、 A100、al0000 
20 个 文件 ( 夹 ) 名 19 个 文件 ( 夹 ) 名 


6.67 HH 盘 根 目 录 的 B 一 树 结构 图 


6.9 回收 站 的 结构 


不 同 操作 系统 下 ,NTFS 文件 系统 对 回收 站 管理 方式 不 同 ,这 里 只 介绍 Windows XP 和 
Windows 7 操作 系统 的 回收 站 结构 。 其 他 操作 系统 对 回收 站 的 管理 ,请 读者 自行 参阅 有 关 


6.9.1 Windows XP 回收 站 结构 


在 Windows XP 操作 系统 下 ,回收 站 是 一 种 特殊 的 子 目录 (文件 夹 ) , 它 位 于 逻辑 盘 的 根 目 
录 下 ,名 称 为 RECYCLER, 属 性 为 系统 、 隐 藏 。 当 用 户 第 一 次 将 文件 放 入 回收 站 后 ,在 
RECYCLER 子 目 录 中 会 生成 一 个 以 “S-1-5-21” 开 头 的 子 目 录 ( 文 件 夹 ) ,在 以 “S-1-5-21” 开 头 
的 子 目 录 下 会 自动 建立 一 个 名 为 INFO2 的 文件 ,该 文件 属性 为 隐藏, 该 文件 分 别 用 ASCII 码 
和 Unicode 码 记录 了 被 删除 文件 的 原始 信息 ( 即 被 删除 文件 的 盘 符 、 路 径 , 长 文件 名 、 短 文件 
名 文件 编号 .文件 删除 日 期 时 间 等 )。 同 时 在 以 *“S-1-5-21? 开 头 的 子 目 录 中 还 会 生成 一 个 以 
“D 十 盘 符 十 序号 . 扩展 名 ”命名 的 文件 。 


6.9.2 Windows 7 回收 站 结构 


在 Windows 7 操作 系统 下 ,回收 站 的 管理 与 Windows XP 基本 相同 。 在 Windows 7 下 回 
收 站 的 名 称 为 $ RECYCLE. BIN, 属 性 也 是 系统 、 隐 藏 ,在 该 文件 夹 下 有 以 “S-1-5-21” 开 头 的 
文件 夹 。“S-1-5-21” 开 头 的 文件 夹 存放 被 删除 的 文件 。 如 果 用 户 将 文件 放 入 回收 站 后 ,在 
“S-1-5-21” 开 头 的 文件 夹 中 会 生成 2 个 文件 ,文件 的 命名 规则 为 : 一 个 以 “$I 十 6 个 随机 字符 ” 
为 文件 名 ; 而 另 一 个 则 以 “$ R 十 6 个 随机 字符 ?为 文件 名 ,扩展 名 不 变 。 两 个 文件 的 “6 个 随机 
字符 ”是 一 样 的 。 其 中 :“ $I 十 6 个 随机 字符 ?文件 的 内 容 存储 着 被 删除 文件 的 盘 符 .路径 和 文 
件 名 ; “SRE 个 随机 字符 ”文件 则 存储 着 被 删除 文件 的 内 容 , 即 “$ RH 个 随机 字符 ”与 
被 删除 文件 的 记录 号 为 同一 个 。 
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6.10 删除 文件 对 元 文件 $MFT 和 索引 目录 等 的 影响 


对 于 NTFS 文件 系统 而 言 ,删除 文件 将 对 元 文件 $MFT 对 应 记录 、 元 文件 $MEFT 的 
BOH 属性 值 . 回 收 站 、 索 引 目录 、 位 图 文件 和 磁盘 空间 等 产生 影响 。 

用 户 删 除 文件 一 般 有 两 种 方式 : 一 种 方式 是 将 被 删除 的 文件 放 入 回收 站 ,然后 再 将 回收 
站 清空 ,或 到 回收 站 中 再 将 文件 删除 ; 另 一 种 方式 是 将 文件 直接 删除 ( 即 被 删除 的 文件 不 经 过 
回收 站 ,或 者 将 文件 直接 剪 切 , 再 到 目标 目录 中 进行 粘贴 ) 。 

本 节 主 要 讨论 第 一 种 方式 对 NTFS 的 元 文件 $ MEFT、 索 引 目 录 和 位 图 文件 等 的 影响 ; 第 
二 种 方式 对 NTFS 的 元 文件 $ MFT、 索 引 目 录 和 位 图 文件 等 的 影响 ,请 读者 自行 分 析 。 

例 6.41 在 Windows 7 操作 系统 下 ,删除 H 盘 abcd3 文件 夹 中 的 13.jpg 文件 。 注 : 在 
本 例 中 提 及 的 13. jpg 文件 均 是 指 H 盘 abcd3 文件 夹 下 的 13. jpg 文件 ,13. jpg 文件 的 记录 号 
为 11947,11947 号 记录 80H 属性 如 图 6. 68 所 示 。 

Offset 01234567 89ABCDEF 


06EAADOO 80 00 00 00 48 00 00 00 01 00 00 00 00 00 01 00 
O6EAADIO 00 00 00 00 00 00 00 00 42 00 00 00 00 00 00 00 
O6EAAD20 40 00 00 00 00 00 00 00 
06EAAD30 ËD 28 04 00 00 00 0000) ËD 28 04 00 00 00 00 0d| 
06EAAD40 FF FF FF FF 82 79 47 11 


6.68 11947 号 记录 的 80H 属性 


从 11947 号 记录 80H 属性 可 知 ,13. jpg 文件 的 大 小 为 266KB(272 429 字 节 ), 占 268KB 
(274 432 FW); 从 80H 属性 中 的 数据 运行 列表 ( 注 : 数据 运行 列表 为 21 43 0A 19) 可 知 ， 
13. jpg 文件 内 容 占 据 簇 号 范围 为 6410 一 6476 ,共计 67 PIR. 


1. 对 11947 号 记录 的 影响 


一 


) 将 13.jpg 文件 放 入 回收 站 前 ,11947 号 记录 情况 如 图 6. 69 所 示 。 


offeet |o 1 2 567 8 9 5ABOCDODEF| ¿Ja —| 
+ D6EAACOD 46 49 4C 45 30 00 03 00 C1 Fl 5D 00 00 00 00 00 Fj 
TT eeen 01 00 01 00 38 00 
Ç 00 00 00 00 00 O| 03 00 00 00 AB 2E OO OD 
DelautEgtMode _ 《03)o0 o0 o0 oo oo oo oo 10 00 OO OO 60 OO OO OO ... 
文件 O06EAAC40 00 00 00 00 00 00 00 00 48 00 00 00 18 00 00 OO ... 


61 DO 01 00 F4 3E C3 46 DF CD 01 
61 DO 01 26 CE 04 OC E4 61 DO 01 & 
00 00 00 00 00 00 00 00 00 00 00 

01 00 00 00 00 00 00 00 00 00 00 . 


06EAAC60 |26 CE 04 0 inoit 
13j Š 
06EAAC70 |20 00 00 0 3.jpg 的 


06EAAC80 OO OO OO O Unicode 码 


3 
5 
0 
0 
0 
0 
06EAAC50 26 CE 04 OC 
C 
0 
0 
0 
0 
0 


SMFT (#11947) 0D6EAAC90 |00 00 00 O! 00 00 00 30 00 00 00 68 00 00 00 . 
Mabcd3\13jpg 00 00 00 O! 00 02 00 4E 00 00 00 18 00 01 00 
A6 2E 00 Ol 00 01 00 26 CE 04 OC E4 61 DO p 
26 CE 04 0C 61 DO 01 26 CE 04 OC E4 61 DZ 
26 CE 04 0C 6 00 30 04 00 00 0900 00 
00 00 00 00 0 20 00 00 00 00/00 00 00 .: 
06 03L31 00 00 2E 00 6A 00 70 00 67 00j00 00 
80 00 00 00 00 00 00 01 00 00 00 00 00 01 00 
00 00 00 00 00 00 00 42 00 00 00 00 00 00 00 


00 00 00 00 30 04 00 00 00 00 00 
2D 28 04 00 00 00 00 00 2D 28 04 00 00 00 00 00 


21 43 OA 19 00 00 0000) FF FF FF FF 82 79 47 11 IE 


6EAAD1F =0| Block 6EAAD1F- GEAAD1F | Size: 


图 6.69 将 13.jpg 文 件 放 和 人 回收 站 前 ,11947 号 记录 情况 


& 大 话 数据 恢复 


(2) 将 13.jpg 放 入 回收 站 后 ,11947 号 记录 情况 如 图 6. 70 所 示 。 


, 1 9EFeet 0 1 2 3 4 5 6 7 BS K B C DEF 
46 49 4C 45 30 00 03 DD 一 
01 00 01 OO 38 00 
00 00 00 00 00 00 


文件 名 为 


£ D6EAAC40 00 00 00 00 00 00 00 00 48 00 00 00 18 00 00 00 
S$R127DKX. jpg 


D6EAACSO 26 CE 04 OC E4 61 DO 01 00 F4 3E C3 46 DF CD 01 
D6EAAC60 A4 D7 4B F5 EA C4 DO 01 26 CE 04 OC E4 61 DO 01 
O6EAAC70 20 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 


SR127DKX.jpg 的 
Unicode 码 


06EAAC90 
) osEaacao 
D6EAACBO 
D6EAACCO 
D6EAACDO 
D6EAACED 
O6EAACFO 
D6EAADOD 
O6EAAD10 80 00 00 00 48 00 00 00 01 II 00 00 00 00 01 00 
O6EAAD20 00 00 00 00 00 00 00 00 42 00 00 00 00 00 00 00 
O6EAAD30 40 00 00 00 00 00 00 00 00 30 04 00 00 00 00 00 
06EAAD40 2D 28 04 00 00 00 00 00 2D 28 04 00 00 00 00 00 
06EAADS0 FF FF FF FF 82 79 47 11 

| Onset 6EAACEE| =0| Block 194C046 - 62FB37D | Size: 


图 6.70 将 13.jpg 文件 放 入 回收 站 后 ,11947 号 记录 情况 


(3) 将 13.jpg 从 回收 站 中 彻底 删除 后 ,元 文件 $MFT 的 11947 号 记录 情况 如 图 6. 71 
所 示 。 


SFT W11947) 
SR127DKXjpg， 


Physical sector No-226774 
Logical sector No: 226646 


Used space: 921MB 
96,591,872 bytes 


Free space: 205MB 
214,831,104 bytes 


Total capacity. 297 MB 
311,422,976 bytes 


Sector 226646 of 608248 


46 49 4C 45 30 00 0 E6 0B 


90 00 nn anas 

5T 00 00 00 04 00 00 
0O 00 00 00 OO 00 00 00 04 00 00 00 AB 2E 00 OD 
06EAAC30 0 t000 00 00 00 00 00 OO 10 00 00 00 60 00 00 00 
06EAAC40 00 00 00 00 00 00 OO 48 00 OO OO 18 00 00 00 
06EAAC50 26 CE 04 OC E4 61 DO 01 00 F4 3E C3 46 DF CD 01 
O6EAAC60 A4 D7 4B FS EA C4 DO 01 26 CE 04 OC E4 61 DO 01 
O6EAAC70 20 00 00 00 OO 00 00 OO OO 00 00 00 00 00 00 00 
O6EAAC80 00 00 00 OO OC 01 00 00 00 00 00 00 00 00 00 00 
O6EAAC90 00 00 00 00 00 00 00 00 30 00 00 00 78 00 00 
O6EAACAO 00 00 00 00 OO 00 03 00 SA 00 00 00 18 00 01 
O6EAACBO 60 3C 00 00 00 00 02 00 26 CE 04 OC E4 61 DO 
O6EAACCO 00 F4 3E C3 46 DF CD 01 26 CE 04 OC E4 61 
D6EAACDO 26 CE 04 OC E4 61 DO 01 00 30 04 00 OO 00, 
O6EAACEO 2D 28 04 00 00 00 00 00 20 00 00 00 00 Q% 


文件 名 为 
$R127DKX.jpg 


SR127DKX.jpg 的 
Unicode 码 


. Ed 


Snapshot taken TU 
s s i SA 


Physical sector No- 226774 
Logical sector No- 226646 


Used space: 919mB|| O06EAACFO OC 03|24 00 52 00 31 00 32 00 37 00 44 00 4B 00 
aimem O6EAADOO [58 00 2E 00 6A 00 70 00 67 00j00 00 00 00 01 00 
O6EAAD10 80 00 00 00 48 00 00 00 01 00 00 00 00 00 01 00 


Free space: 
215, 105536 by bytes 


Total capacity- 297 MB 
311,427,072 bytes 


O6EAAD20 00 00 00 00 00 00 00 00 42 00 00 00 00 00 00 00 
D6EAAD30 40 00 00 00 00 00 00 OO 00 30 04 00 00 00 00 00 
O6EAAD40 2D 28 04 00 00 00 00 00 2D 28 04 00 00 00 00 00 -( E 
06EAAD50 |21 43 0A 19 OD 00 DD OD|UFF FF FF FF 82 79 47 11 IONII yýIyG. 
. 一 一 一 
Sector 226646 of 600256 | Offset 6EMCIE| =0| Diock 5EAAC3E - 6CAACIC | Size: 


6.71 将 13.jpg 从 回收 站 中 彻底 删除 后 ,11947 号 记录 情况 


(4) 删除 13. jpg 文件 对 11947 号 记录 的 影响 , 见 表 6. 84 所 列 。 
表 6.84 删除 13.jpg 文件 对 11947 号 记录 的 影响 


文件 删除 过 程 记录 使 用 次 数 文件 使 用 情况 文件 名 文件 存储 位 置 
13.jpg 放 入 回收 站 前 3 次 正在 使 用 13. jpg H:\abcd3 
13. jpg 放 入 回收 站 后 4 次 正在 使 用 $ R127DKX. jpg 回收 站 


将 13.jpg 从 回收 站 删除 5 次 文件 已 被 删除 $ R127DKX. jpg 回收 站 
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2. 对 15397 号 记录 的 影响 


于 篇 幅 限 制 ,对 15397 号 记录 的 影响 ,请 读者 自行 分 析 , 这 里 作 如 下 简单 说 明 。 
(1) 将 13.jpg 文件 放 入 回收 站 前 ,15397 号 记录 为 未 使 用 记录 。 

(2) 将 13. jpg 文件 放 入 回收 站 后 ,15397 号 记录 已 被 $1127DKX. jpg 文件 记录 所 占用 , 即 
在 回收 站 文件 夹 中 建立 了 一 个 名 为 $1127DKX. jpg 的 文件 ( 注 :“127DKX” 为 随机 字符 ); 
15397 号 记录 80H 属性 的 内 容 为 H:\abcd3\13. jpg, 即 在 资源 管理 器 中 查看 回收 站 时 ,被 删除 
文件 13. jpg 的 所 在 位 置 。 

(3) 将 回收 站 清空 后 ,15397 号 记录 为 未 使 用 记录 。 


3. 对 元 文件 $ MFT 记录 BOH 属性 值 的 影响 


于 13.jpg 文件 的 记录 号 为 11947,11947 号 记录 在 元 文件 $MFT 的 BOH 属性 值 中 的 
位 图 为 202746 号 扇 区 偏 移 0X01D5 的 bits 。 

(1) 将 13.jpg 文件 放 入 回收 站 前 ,202746 号 扇 区 偏 移 0X01D5 的 值 为 “FF”, 如 图 6. 72 所 
示 , 表 示 11947 号 记录 状态 为 已 使 用 。 

(2) 将 13. jpg 文件 放 入 回收 站 后 ,202746 号 扇 区 偏 移 0X01D5 的 值 仍然 为 “FF”, 如 图 6. 72 
所 示 , 即 11947 号 记录 状态 仍然 为 已 使 用 。 


Custer No: B| orfset |o 1234567 89A 

TSBnap | O62FESCO FF FF FF FF FF EK FF EF FE FF FF F 
062FFSDO FF FF FF FF FFCEDDFF FF FF FF FF FI 
Snapshotlatan 31min ago | O62FFSEO FF FF FF FF FF FF FF FF FE FF FF FF FF FF FF EF 
Physicalsecor No. 202874 O62FFSFO FF FF FF FF FF FF FF FF FE FF FF FF FF FF FF FF YYYY 
LogcalsedorNo: 202745 | 062FF600 FF FF FF FF FF FF FF FF FE FF FF FF FF FF FF FF 
Sector 202746 o1 608256 Onset 2 =255 | Biok mjs 


6.72 将 13.jpg 文 件 放 人 回收 站 前 、 后 ,202746 号 扇 区 部 分 值 


G) 将 回收 站 清空 后 ,202746 号 扇 区 偏 移 0X01D5 的 值 由 “FF? 变 为 “F7”, 如 图 6.73 所 
示 ,表示 11947 号 记录 状态 为 未 使 用 。 


` 


1234 8 9 A 5 c 5 E FEZJEEESI 
ny 
D |EF FF FF EE GDH "r EF FF FF FF FF FF FE EF yyyyyyyyyyyyyyyy 
Ts (EF PE FE FE FE IPTE EF YE PE PE FE TE YF YE TF SAAN 
0 [FF FF FF FF FF FF FF FF FE FF FF FF FF FF FF FF yyyyyyyyyyyyyyyË 
EE FE PE F FF EF PF FF FE FF FF PF TF FF FF EF 
kali ee ja 


(4) 将 13. jpg 文件 放 入 回收 站 前 ,202747 号 扇 区 偏 移 0X0184 的 值 为 “DF”, 即 15397 号 
记录 状态 为 未 使 用 ,如 图 6.74 所 示 。 


| ore |o í 2 3 4 S 6 7 98 3 AB C D E FEZImEESI 8 
SuFTSBumap | 062FF760 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF yyyyyyyyyyyyyyyy 
| 062fF770 FE FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
D62FE700 FE FF FF op E7 EE FE FF EF FE FE 00 00 00 WO IY 
062FF70 o0 on oo no WÔ oo on oo onon 00 00 OO 00 00 00 ..... Zea 


Legcals 062FF7A0 00 00 00 00 00 00 00 OO 00 00 OO OO OO 00 00 00 z 
| Secor 202747 ot508255 J Omat “mn, 二 ,Bee sm 


图 6.74 将 13.jpg 文 件 放 入 回收 站 前 ,202747 号 扇 区 部 分 值 


(5) 将 13. jpg 文件 放 入 回收 站 后 ,202747 号 扇 区 偏 移 0X0184 的 值 由 “DF” 变 为 “FF”, 如 
图 6.75 所 示 ,说 明 该 字 节 bits 的 值 为 1, 即 15397 号 记录 状态 为 已 使 用 。 

(6) 将 回收 站 清空 后 ,202747 号 扇 区 偏 移 0X0184 的 值 由 为 “FF” 变 “DF”, 如 图 6. 76 所 
示 , 说 明 该 字 节 bits 的 值 为 0, 即 15397 号 记录 状态 为 未 使 用 。 


& 大 话 数据 恢复 


| ore |0 12234567 eacharEEl B 


Stema | 062FF760 FF FF FF FF FF FF FF FF EF FE FF EF EF FF FE EF yyyyyyyyyyyyyyyy 


Snapshottaken 35 min ago 


062FF770 FF FF FF FF EE FF FF FF FF FE FF FF FF FF FF FF yyyByyyyyyyyyyy 
0628E780 FF FF FF Fr(EFF F7 FF FF FF FF FF FF OO 00 00 yyyyeya 
Pisica sede No 209875 | 052FF790 00 00 00 OO OÚ DO 00 00 DD OD OO OD 00 OO DO DO ... 

Logical secor No: 202747 | 062FF7A0 |00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 OO .... 
| Sector 202747 of608256 Onset m =26 Bock 


6.75 将 13.jpg 文 件 放 和 人 回收 站 后 ,202747 号 扇 区 部 分 值 


J FF FF FF 
EF Fr FE FF Dr F7 FE 
00 o0 00 00 9Ó 00 oo oo 
062EF7A0 | 00 00 00 00 00 00 00 00 
| Sector 202747 et 608256. Lomset m) 


6.76 将 13.jpg 文件 放 入 回收 站 后 ,202747 扇 区 部 分 值 


4. 对 回收 站 的 影响 


A) 将 13.jpg 文件 放 入 回收 站 前 ,回收 站 中 只 存储 一 个 文件 ,文件 名 为 desktop. ini, 
如 图 6.77 所 示 。 


BING-1-5-21-894613213-3022215824-3749548889-1000 
Ed 


desktop.ini ii 129B 20150323 1006:55 SHA 233666 


Secor 233666 ot 608256 Ofset 7218400 =2] Block ma 


6.77 将 13.jpg 文件 放 入 回收 站 前 ,H 盘 回 收 站 存储 的 文件 


(2) 将 13. jpg 文件 放 入 回收 站 后 ,在 回收 站 中 增加 了 两 个 文件 ,文件 名 分 别 为 
$ R127DKX. jpg 和 $1127DKX. jpg。 其 中 : $ R127DKX. jpg 文件 是 由 13. jpg 文件 从 H 盘 
abcd3 文件 夹 中 移动 而 来 ,并 将 文件 名 重 命名 为 $ R127DKX. jpg; 而 $1127DKX. jpg 则 是 新 
建立 的 文件 ,文件 记录 号 为 15397, 如 图 6.78 所 示 。 


-1-S-21-894613213-3022215824-3749548889-1000 
[ex [sue 


[an Tistsecor] 
ipg 266 KB 2015/03/19 092847 A 51280 
Jpg 05KB 2015/07/23 09:57:41 A 233546 
ini 129 B 2015/03/23 100655 SHA 233666 
Sector 233664 of 608256 Offset 7218000. =70 | Block Ma | Size: 


6.78 H 13. jpg 文件 放 入 回收 站 后 ,H 盘 回 收 站 存储 的 文件 


G) 将 回收 站 清空 后 ,文件 $ R127DKX. jpg 和 $27DKX. jpg 已 从 回收 站 中 删除 ,如 图 6. 79 
所 示 。 


\SRECYCLE BIN\S-1-5-21-894613213-3022215824-3749548889-1000 


i SOSA i SR | 


国 sR127Ddpe ipo 266KB 2015/03/19 092847 A 51280 
| T] 51127DKX jpg jpg 05KB 2015/07/23 09:57:41 A 233546 
| desktop.ini ini 129 B 2015/03/23 10:06:55 SHA 233666 
Sector 233664 of 608256 [Ofset 7218000; =70] Block Ma | Sze: 


6.79 回收 站 清空 后 ,H 盘 回 收 站 所 存储 的 文件 


5. 对 abcd3 文件 夹 索引 目录 的 影响 


(1) 将 13.jpg 文件 放 入 回收 站 前 ,13. jpg 文件 存放 在 12. jpg 和 14. jpg 之 间 , 如 图 6. 80 
所 示 。 
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L 


019A11B0 
019A11C0 
019A11D0 
019A11E0 
019A11F0 
019A1200 
019A1210 
019A1220 
019A1230 
019A1240 
019A1250 
019A1260 
019A1270 


Ofset 


AB 2E 
A6 2E 
00 F4 
26 CE 
2D 28 
06 03 
AC 2E 
A6 2E 
00 7B 
26 CE 


00 00 
00 00 
3E C3 
04 oc 
04 00 
31 00 
00 00 
o0 00 
D2 c6 
04 oc 
39 7A 02 00 
06 03 31 00 


1941180. 


60 00 
26 CE 
26 CE 
o0 30 
20 00 
6A 00 
60 00 
26 CE 
26 CE 
o0 80 
20 00 
6A 00 


o0 
46 
E4 
00 
33 
[7] 
00 
46 
E4 
o0 
34 


o0 01 
DF CD 
61 D0 
00 00 
00 2E 
00 01 
00 01 
DF CD 
61 DD 
00 00 
00 2E 


04 
04 
04 
00 
70 
4E 
04 
04 
02 
00 
70 


Si .äoÐ. 


-GyRFBT.ET .daD. 
hd 


图 6.80 H 13. jpg 文件 放 入 回收 站 前 ,13. jpg 存放 在 12. jpg 和 14. jpg 之 间 
(2) 将 13. jpg 文件 放 入 回收 站 后 ,13. jpg 已 从 索引 节点 中 移出 ,如 图 6. 81 所 示 。 


41KB 201503/19 09:28:47 52488 


Dia pumaq a | ot [o í 2 3 4 5 6 7 8 9 A B C p E FIZ=ISI= 
Fie NTFS | 019A1180 00 38 B6 1E 99 E4 CD 01 26 CE 04 OC E4 61 DO 01| .8%.18l.Sl..aap. 
Volumelabet: — 123456 | 019A1190 26 CE 04 OC E4 61 DO ol 00 60 01 00 00 00 00 00 
019A11A0 |24 SC 01 00 00 00 00 00 20 00 00 00 00 00 00 OO $5.. 
pusana 019A11B0 06 03 31 00 32 00 2E 00 6A 00 70 00 67 00 00 OO ..1. 
9 019A11C0 AC 2E 00 00 00 00 01 00 60 00 4E 00 00 00 00 OO ~. 
anet B 019A11D0 A6 2E 00 00 00 00 01 00 26 CE 04 OC E4 61 DO 01 i. 
— 019A11E0 | 00 7B D2 C6 46 DF CD 01 26 CE 04 OC E4 61 DO O1 . 
Ac ofvisibie drive space: | 019A11FO 26 CE 04 OC E4 61 DO 01 00 80 02 00 00 00 03 00|si.. 
A 6561 | 019A1200 39 7A 02 00 00 00 00 00 200000 00 00 00 OO OO 9z.. 
i= abei | 019A1210 06 03 31 00 34 00 2E 00 6A 00 70 00 67 00 00 OO ..1. 
Sedor 52488 of 608256 L Offset 19A119F | =0| Block mal Size: 
图 6.81 将 13.jpg 文 件 放 和 人 回收 站 后 ,13.jpg 已 从 索引 节点 中 移出 


6. 删除 13.jpg 对 元 文件 $Bitmap 的 影响 


由 于 元 文件 $ Bitmap 开始 扇 区 号 为 202712。 由 式 (6.34) 一 式 (6.36) 可 以 计算 13. jpg X 
件 内 容 开 始 簇 号 6410 在 元 文件 $ Bitmap 中 的 位 图 位 置 为 202713 号 扇 区 偏 移 0X0121 的 
bite; 而 结束 簇 号 6476 在 元 文件 $Bitmap 中 的 位 图 位 置 为 202713 号 扇 区 偏 移 0X0129 的 


bit; 见 表 6.85 所 列 。 


36.85 13.jpg 文 件 内 容 开始 簇 号 和 结束 敌 号 在 元 文件 $ Bitmap 中 的 位 置 


开始 开始 簇 号 在 $ Bitmap 中 的 位 置 结束 结束 能 号 在 $ Bitmap 中 的 位 置 
E5] ARS 扇 区 偏 移 字 节 位 | 能 号 | 扇 区 号 扇 区 偏 移 字 节 位 
6410 202713 0X0121 Bit; 6476 202713 0X0129 Bit, 


C) 删除 13. jpg 文件 前 ,13. jpg 文件 在 元 文件 $ Bitmap 中 所 占 位 图 位 置 , 如 图 6. 82 


Offset 
062FB310 
2599 | 062FB320 

A| 062FB330 
062FB340 
- Torset 


Alloc. ofvisible drive space: 
Cluster No: 


6.82 


ol 3 4 S 6 7 8 9ABT 


FF FE FF FF FF FF FF FF FF FE FF 
FF 
FF FF FF FF FF FF FF FF FF FF FF 
FF FF FF FF FF FF FF FF FF FF FF 


Do 


13. jpg 文件 秘 号 在 元 文件 $ Bitmap 中 位 图 位 置 


13jpg 文 件 内 容 所 占据 的 位 


& 大 话 数据 恢复 


从 表 6. 85 可 知 ,13. jpg 文件 内 容 占 据 的 簇 号 范围 为 6410 一 6476 ,占据 元 文件 $ Bitmap 中 
的 202713 号 扇 区 偏 移 0X0121 的 bit; 一 bit , 扇 区 偏 移 0X0122 一 0X0128 , 扇 区 偏 移 0X0129 的 
bit, ~bito; 202713 号 扇 区 偏 移 0X0121 一 0X0129 表示 的 簇 号 , 见 表 6. 86 所 列 。 


表 6.86 删除 13.jpg 文件 前 ,202713 AERE 0X0121 一 0X0129 表示 乱 号 情况 表 


扇 区 偏 移 0X0121 0X0122 0X0123—0X0127 0X0128 0X0129 
值 (十 六 进 制 ) FF FF 全 为 FF FF FF 
对 应 簇 号 范围 6415~6408 6423~6416 6424~6463 6471~6464 6479~6472 
艇 号 使 用 情况 见 表 6. 87 所 列 已 使 用 已 使 用 已 使 用 见 表 6. 88 所 列 
文件 占用 簇 号 情况 ME 6. 87 所 列 13.jpg 13.jpg 13.jpg 见 表 6. 88 所 列 


其 中 : 202713 号 扇 区 偏 移 0X0121 表示 的 簇 号 , 见 表 6. 87 所 列 ; 而 202713 号 扇 区 偏 移 地 
HE 0X0129 所 表示 的 簇 号 , 见 表 6. 88 所 列 。 


表 6.87 删除 文件 13. jpg 前 ,202713 号 扇 区 偏 移 0X0121 的 值 及 所 表示 的 复 号 


地 址 202713 号 扇 区 偏 移 0X0121 
十 六 进 制 值 FF 
二 进 制 位 Bit; Bits Bits Bit, Bits Bitz Biti Bito 
二 进 制 值 1 1 1 1 1 š Í 1 
对 应 的 簇 号 6415 6414 6413 6412 6411 6410 6409 6408 
簇 号 使 用 情况 已 使 用 ”已 使 用 已 使 用 已 使 用 已 使 用 已 使 用 已 使 用 已 使 用 


文件 占用 簇 号 情况 | 13.jpg 13.jpg 13.jpg 13.jpg 13.jpg 13.jpg 12.jpg 12.jpg 


表 6.88 删除 文件 13.jpg 前 ,202713 号 扇 区 偏 移 0X0129 的 值 及 所 表示 的 簇 号 


地 hk 202713 号 扇 区 偏 移 0X0129 
十 六 进 制 值 FF 
二 进 制 位 Bit; Bit, Bits Bit, Bits Bit; Bit, Bito 
二 进 制 值 1 i 1 1 1 1 1 ï 
HRS 6479 6478 6477 6476 6475 6474 6473 6472 
BES E 00 已 使 用 ”已 使 用 已 使 用 已 使 用 已 使 用 已 使 用 已 使 用 已 使 用 


文件 占用 和 扰 号 情况 | 14.jpg 14.jpg 14.jpg 1l3.jpg 13.jpg 1l3.jpg 13.jpg _13.jpg 


将 13. jpg 文件 删除 并 清空 回收 站 ,202713 Z B X f £ 0X0121 的 bit, —bit, 的 值 由 1 将 
变 为 0, 而 bit 一 bit 的 值 保持 不 变 ; 202713 号 扇 区 偏 移 0X0122 一 0X0128 字 节 的 值 由 “FF” 变 
为 “00” ,而 202713 号 扇 区 偏 移 0X0129 的 bit, 一 bit 的 值 由 1 将 变 为 0, 而 bit 一 bits 的 值 保持 
不 变 。 

(2) 删除 13. jpg 文件 并 清空 回收 站 后 ,13. jpg 文件 内 容 占 用 簇 号 在 元 文件 $ Bitmap 中 的 
位 图 位 置 ,如 图 6. 83 所 示 。 


| Offset | 0 1 234567 89AB I 一 
Ce Snap | 062FB310 |FF FF FF FF FF FF FF FF FE FF FE 13:jjpg 文 件 内 容 所 占据 的 位 图 
\ | 062FB320 FF[03 00 00 00 00 00 00 00 EO)FF FF FF FF FF FF y.......4 à 
062FB330 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF Yyyyyyyyyyyyyyyyy 
saqisqa s 062FB340 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 


l s a 


图 6.83 删除 13.jpg 文件 并 清空 回收 站 后 ,13. jpg XPF Br rh f% El 
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202713 号 扇 区 偏 移 0X0121—0X0129 表示 的 簇 号 , 见 表 6.89 所 列 ; 其 中 : 202713 5K 
偏 移 0X0121 MERKIS. ILK 6. 90 Br $|; 202713 号 扇 区 偏 移 0X0129 所 表示 的 簇 号 见 
表 6.91 所 列 。 


表 6.89 删除 13.jpg 文 件 后 ,202713 ARAE 0X0121—0X0129 所 表示 的 簇 号 情况 表 


扇 区 偏 移 0X0121 0X0122 0X0123—0X0127 0X0128 0X0129 
值 (十 六 进 制 ) 03 00 全 为 00 00 E0 
对 应 簇 号 范围 6415 一 6408 6423 一 6416 6424 一 6463 6471~6464 6479—6472 
得 号 使 用 情况 见 表 6. 90 所 列 未 使 用 未 使 用 未 使 用 见 表 6.91 
文件 占用 簇 号 情况 — 见 表 6. 90 所 列 见 表 6.91 


表 6.90 删除 文件 13.jpg 后 ,202713 号 扇 区 偏 移 0X0121 的 值 及 所 表示 的 簇 号 


地 hk 202713 号 扇 区 偏 移 0X0121 

十 六 进 制 值 03 
二 进 制 位 Bit; Bits Bits Bit, Bits Bit; Biti Bito 
二 进 制 值 0 0 0 0 0 0 1 1 
对 应 簇 号 6415 6414 6413 6412 6411 6410 6409 6408 
簇 号 使 用 情况 未 使 用 ”未 使 用 ”未 使 用 未 使 用 ”未 使 用 未 使 用 已 使 用 已 使 用 
文件 占用 簇 号 情况 


12. jpg 12. jpg 


表 6.91 删除 文件 13.jpg 后 ,202713 号 扇 区 偏 移 0X0129 的 值 及 所 表示 的 簇 号 


地 dk 202713 号 扇 区 偏 移 0X0129 
十 六 进 制 值 E0 
二 进 制 位 Bit; Bits Bits Bit, Bit; Bit; Bit, Bit; 
二 进 制 值 t 1 1 0 0 0 0 0 
对 应 簇 号 6479 6478 6477 6476 6475 6474 6473 6472 
簇 号 使 用 情况 已 使 用 ”已 使 用 已 使 用 未 使 用 未 使 用 未 使 用 未 使 用 未 使 用 


文件 占用 簇 号 情况 14.jpg 1l4.jpg 14.jpg 


7. 删除 13.jpg 对 磁盘 空间 的 影响 


删除 13. jpg 文件 对 磁盘 空间 的 影响 见 表 6.92 所 列 ( 注 : 表 6.92 中 的 磁盘 空间 是 使 用 
WinHex 软件 所 查看 到 的 ,在 Windows 7 下 由 于 计算 方法 不 同 ,与 WinHex 软件 所 查看 到 的 
磁盘 空间 不 同 ) 。 


36.92 删除 13.jpg 文件 前 、 后 磁盘 空间 变化 情况 表 


磁盘 空间 13. jpg 放 入 回收 站 前 清空 回收 站 后 磁盘 空间 变化 情况 

已 用 磁盘 空间 96 591 872 字 节 96 317 440 字 节 减少 了 274 432 字 节 ( 即 67 Mi) 
自由 磁盘 空间 214 831 104 字 节 215 105 536 字 节 增加 了 274 432 字 节 ( 即 67 PR) 
总 磁盘 空间 311 422 976 字 节 311 422 976 字 节 未 发 生变 化 


8. 删除 13.jpg 对 索引 目录 的 影响 


abcd3 文件 夹 的 记录 号 为 11942,11942 号 记录 80H 属性 数据 运行 列表 为 “21 01 Al 19”。 
在 abcd3 文件 夹 中 ,存放 了 35 个 文件 名 ,这 35 个 文件 名 均 存 储 在 1 个 索引 节点 中 ,索引 节点 


@ 大 话 数据 恢复 


编号 为 0, 从 11942 号 记录 80H 属性 数据 运行 列表 可 知 ,索引 节点 所 对 应 的 LCN 为 6561 。 
A) 将 13.jpg 放 入 回收 站 前 ,abcd3 文件 夹 的 B 一 树 结 构 , 如 图 6. 84 所 示 。 


90H 属 性 


0 


i 


0 


ljpg- 10jpg、 lljpg- 12jpg> 13.jpg、 14jpg、 15jpg . 
16jpg、~ 17jpg、 18:jpg、 19.jpg、 +*****、 7jpg、 8:jpg、 9.jpg 


6.84 13.jpg 放 入 回收 站 前 ,abcd3 文件 夹 B 一 树 结构 图 
(2) 将 13.jpg 放 入 回收 站 以 及 清空 回收 后 ,abcd3 文件 夹 的 B 一 树 结构 ,如 图 6. 85 所 示 。 


90H 属 性 


0 


i 


0 


ljpg、 10jpg、 lljpg- 12.jpg、 14.jpg、 15jpg、 16jpg、 
17jpg、 18jpg、 19jpg> =t ` 6jpg、 7jpg、 8.jpg、 9.jpg 


图 6.85 13.jpg 放 入 回收 站 以 及 清空 回收 站 后 ,abcd3 文件 夹 B 一 树 结构 图 


注 : 由 于 篇 幅 限 制 ,如 果 读 者 想 进一步 研究 NTFS 文件 系统 ,请 参照 作者 的 另 一 本 专著 
《NTFS 文件 系统 实例 详解 》。 


思考 题 


注 : 在 本 章 思考 题 中 ,H 盘 是 指 素 材 文 件 夹 中 abcd6. vhd 文件 使 用 计算 机 管理 中 的 磁盘 
管理 功能 附加 后 产生 的 虚拟 盘 。 

6.1 从 整体 上 讲 ,NTFS 文 件 系 统 由 哪 几 部 分 组 成 ? 什么 是 元 文件 ? 

6.2 将 NTFS 文 件 系 统 中 元 文件 的 主要 功能 填 入 到 表 6. 93 对 应 单元 格 中 。 


表 6.93 NTFS 文件 系统 中 的 元 文件 


记录 号 元 文件 名 主要 功能 记录 号 元 文件 名 主要 功能 
0 $MFT 9 $ Secure 
1 $ MFTMirr 10 $ UpCase 
š $ LogFile 11 $ Extend 
3 $ Volume 12~15 ”系统 保留 系统 保留 
4 $ AttrDef 16 一 23 RE 保留 
5 F 24 $ Extend\ $ Quota 
6 $ Bitmap 25 $ Extend\ $ ObjId 
7 $ Boot 26 $ ExtendN $ Reparse 
8 $ BadClus 27 以 后 用 户 文件 和 目录 
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6.3 设计 一 个 实验 ,验证 NTFS XRRR P , AE BJ pj P< AE $ MFTMirr 所 
占 复数 和 记录 数 之 间 的 关系 ,并 将 实验 结果 填 人 到 表 6. 94 对 应 单元 格 中 。 


表 6.94 每 个 簇 的 扇 区 数 与 元 文件 $ MFTMirr 所 占 往 数 和 记录 数 关系 表 


MFTMirr MFTMirr š MFTMirr MFTMirr i 

mayi ten š ed Bussa su. i r 

1 + 条 (0~_ 号 记录 ) 16 + 条 (0~ SWR) 

2 MiK 条 (0 一 Sims) 32 + 条 (0 一 号 记录 ) 

4 AiR 条 (0~_ 号 记录 ) 64 + 条 (0 一 _ 号 记录 ) 

8 Mik 条 (0~_ 号 记录 ) 128 MR RO~ 号 记录 ) 

6.4 在 NTFS 元 文件 中 ,最 重要 的 元 文件 是 , 它 在 元 文件 $MFT 中 的 记录 号 
是 ;元 文件 $ MFT 由 许 许多 多 条 记录 组 成 ,每 条 记录 的 大 小 固定 是 字 节 。 


6.5 在 元 文件 $MFT 中 ,6 号 记录 描述 的 是 位 图 文件 ( 即 $ Bitmap) , NTFS 卷 的 分 配 状 
态 以 簇 为 分 配 单元 存放 在 该 位 图 文件 中 ; 在 位 图 文件 中 ,每 一 位 (Bit) 代 表 NTFS 卷 中 一 个 簇 
的 , 即 标 识 该 簇 是 空闲 秘 还 是 已 被 分 配 徐 。 其 中 : 如 果 该 位 的 值 为 表示 该 
IEW: 如 果 该 位 的 值 为 表示 该 复 已 被 分 配 或 者 是 坏 复 。 


6.6 设计 一 个 实验 ,验证 NTFS 文件 系统 中 ,每 个 簇 的 扁 区 数 与 元 文件 $MFT 每 条 记 
录 大 小 描述 和 每 个 索引 节点 大 小 描述 之 间 的 关系 ,并 将 实验 结果 填 入 到 表 6. 95 对 应 单元 
格 中 。 
表 6.95 每 个 簇 的 扇 区 数 与 $ MFT 每 条 记录 大 小 和 每 个 索引 节点 大 小 描述 关系 表 
扇 区 数 。”$ MFT 每 条 记录 。 $$ MFT 每 条 记录 大 小 描述 ”每 个 索引 节点 索引 节点 大 小 描述 


E 大 小 描述 在 NTFS_DBR 中 的 存储 形式 大 小 描述 ”在 NTFS_DBR 中 的 存储 形式 
ik ik 

2 ik # 

4 字 节 ik 

8 字 节 ik 

16 字 节 字 节 

32 字 节 字 节 

64 字 节 字 节 

128 字 节 字 节 

6.7 NTFS 的 引导 扇 区 ( 即 ) 占 一 个 扇 区 的 位 置 , 它 是 元 文件 的 重要 组 


成 部 分 ,从 NTFS 文件 系统 对 应 的 分 区 表 可 以 计算 出 它 在 整个 物理 盘 中 的 扇 区 号 ,而 它 在 
NTFS 卷 中 的 扇 区 号 是 a 

6.8 某 硬盘 的 总 扇 区 数 为 1 024 001( 扇 区 编号 为 0 一 1024000) ,0 号 扇 区 有 一 个 MBR 分 
区 表 , 分 区 表 的 存储 形式 为 “00 02 03 00 07 FE 3F 3E 80 00 00 00 00 88 OF 00”; 该 硬盘 通过 
计算 机 管理 中 的 磁盘 管理 功能 附加 后 为 磁盘 1, 该 分 区 表 所 产生 的 盘 符 为 ] EGE: 素材 文件 
名 为 zy6_8. vhd)。 请 回答 下 列 问 题 : 

(1) 根据 该 硬盘 0 号 扇 区 的 分 区 表 , 请 判断 丁 盘 的 文件 系统 是 NTFS 还 是 FAT32? 


L 大 话 数据 恢复 


(2) 计算 本 盘 在 整个 硬盘 中 的 位 置 , 即 丁 盘 在 整个 硬盘 中 的 开始 扇 区 号 和 结束 扇 区 号 。 

(3) HF J ÆW DBR A DBR 备份 分 别 位 于 整个 硬盘 的 几 号 扇 区 ? 

(4) 分 区 表 中 的 总 扇 区 数 是 多 少 ? 而 ] 盘 DBR 中 存储 的 总 扇 区 数 又 是 多 少 ? 请 写 出 J 盘 
的 总 扇 区 数 在 DBR 扇 区 偏 移 0X028 一 0X02F 中 的 存储 形式 。 

(5) 请 画 出 丁 盘 在 整个 磁盘 1 中 的 布局 图 ,并 标识 出 丁 盘 扇 区 号 范围 对 应 磁盘 1 扇 区 号 
范围 。 

(6) 如 果 丁 盘 的 DBR 被 破坏 ,而 DBR 备份 完好 无 损 , 在 资源 管理 器 中 能 否 查看 到 丁 盘 的 
AR? 如 果 能 查看 到 丁 盘 的 盘 符 , 单 击 本 盘 盘 符 时 会 出 现 什么 提示 ? 在 保证 J 盘 数 据 完成 好 
无 损 的 情况 下 ,你 如 何 来 排除 此 类 故障 ? 


6.9 在 6.8 题 ,J 盘 的 DBR 如 图 6.86 所 示 。 请 回答 下 列 问 题 。 


Offset 

00010000 
00010010 
00010020 
00010030 
00010040 
00010050 


000101E0 
000101F0 


01234567 
EB 52 90 4E 54 46 53 20 
00 00 00 00 00 F8 00 00 
00 00 00 00 80 00 80 00 
55 4B 01 00 00 00 00 00 
F6 00 00 00 02 00 00 00 
00 00 00 00 FA 33 CO 8E 

… ( 注 
72 6C 2B 41 6C 74 2B 44 
73 74 61 72 74 0D OA 00 


8 9ABCDEF 
20 20 20 00 02 04 00 00 
3F 00 FF 00 80 00 00 00 
EF 87 OF 00 00 00 00 00 
04 00 00 00 00 00 00 00 
01 B7 92 66 C6 92 66 86 
DO BC 00 7C FB 68 CO 07 

: 省 略 部 分 为 引导 记录 代码 ) 
65 6C 20 74 6F 20 72 65 
8C A9 BE D6 00 00 55 AA 


rl+Alt+Del to re 
start... 余 局 . . U? 


6.86 JÉJ NTFS_DBR 


(1) Ki J 8 hj S PE HA PCR .总 扇 区 数 JEPE $ MFT 开始 簇 号 等 值 填 入 到 表 6. 96 相应 
单元 格 的 下 面 线 处 。 

(2) 请 计算 丁 盘 的 总 容量 以 及 格式 化 后 的 总 容量 。 

G) 丁 盘 总 复数 是 多 少 ? 写 出 丁 盘 的 簇 号 范围 以 及 有 效能 号 范围 , 几 号 艇 是 坏 复 ? 该 坏 簇 
号 包含 本 盘 的 几 个 扇 区 ? 分 别 是 哪 几 个 扇 区 号 ? 

(4) 画 出 本 盘 在 整个 磁盘 1 中 的 布局 图 ,并 在 图 中 标注 出 J 盘 扇 区 号 范围 、 徐 号 范围 、 坏 


簇 号 
表 6.96 J 盘 NTFS_DBR 的 结构 
值 

字 节 | 字 节 A g 
偏 移 | 数 | 十 进 制 | 十 六 进 制 | 存储 形式 
0X00 2 略 略 EB 52 跳 转 指令 
0X02 1 略 略 90 空 操作 指令 

4E 54 46 53 
0X03 | 8 略 略 DD 厂商 标志 ,长 度 为 8 个 字符 
0X0B 2 512 0200 00 02 每 个 肩 区 的 字 节 数 
0X0D 1 每 个 篮 的 扇 区 数 
0X0E š 0 0 00 00 保留 肩 区 数 C(NTFS 不 用 ,一 般 为 0) 
0X10 3 0 0 00 00 00 总 为 0 
0X13 2 0 0 00 00 NTFS 未 使 用 ,为 0 
OX15 ï 略 略 F8 介质 描述 
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续 表 
字 节 | 字 节 值 a `B 
偏 移 | 数 | 十 进 制 六 进 制 | 存储 形式 
0X16 Š 0 0 00 00 总 为 0 
0X18 z 63 003F | 3F 00 每 个 磁道 扇 区 数 
OXIA | 2 255 O0FF | FF00 磁头 数 
OX1C | 4 隐藏 扇 区 数 
0X20 4 0 0 00 00 00 00 | NTFS 未 使 用 ,为 0 
0X24 4 8388736 | 00800080 | 80 00 80 00 NTFS 未 使 用 ,总 为 0X00800080 
0X28 | 8 总 扇 区 数 , 所 对 应 的 分 区 表 总 扇 区 数 减 1 
0X30 8 元 文件 $ MFT 开始 簇 号 
0X38 8 元 文件 $ MFTMirr 开始 簇 号 
0X40 1 元 文件 $ MFT 每 条 记录 为 1024 字 节 
0X41 3 0 0 00 00 00 未 用 
0X44 1 EARI A h 88 38 
AD B2 F6 B8 
0X48 8 略 略 n bz: 卷 的 序列 号 
0X50 4 0 0 00 00 00 00 | 检验 和 
0X54 | 426 略 略 略 引导 记录 
OXIFE| 2 略 略 55 AA 签名 


(5) 按 示例 将 表 6.97 中 丁 盘 的 复 号 转换 成 了 盘 对 应 的 扇 区 号 范围 以 及 整个 硬盘 的 扇 区 号 
范围 ,并 将 结果 填 人 到 表 6. 97 对 应 单元 格 中 。 
表 6.97 丁 盘 簇 号 转换 成 对 应 的 扇 区 号 


JARS 3 示例 — — 10 50 ooo — 10892 
对 应 ] 盘 扇 区 号 范围 12 一 15 = ~ ~ z 
一 


(6) 按 示例 将 表 6.98 中 丁 盘 的 扇 区 号 转换 成 对 应 丁 盘 的 复 号 ,再 将 丁 盘 的 复 号 转换 为 对 
应 本 盘 的 扇 区 号 范围 以 及 对 应 整个 硬盘 扇 区 号 范围 ; 并 将 结果 填 人 到 表 6. 98 对 应 单元 格 中 。 


表 6.98 丁 盘 簇 号 转换 成 对 应 的 扇 区 号 


对 应 J 盘 簇 号 5 
JANKI 22( 示 例 ) 17676 494177 732071 970108 
对 应 #& 5 < = 6 Bl 20—23 _ 一 Aa io 


6.10 按 元 文件 $MFT 记录 所 描述 的 内 容 , 可 以 将 元 文件 $MFT 的 记录 分 为 


记录 、 记录 和 记录 3 种 。 
6.11 按 元 文件 $MFT 中 记录 中 是 否 在 起 作用 ,可 以 将 元 文件 $MFT 中 的 记录 分 为 
记录 和 记录 ， 记录 在 元 文件 $ MFT 的 0 号 记录 BOH 属性 值 中 对 
应 位 的 值 为 1; 而 记录 在 元 文件 $ MFT 的 0 号 记录 BOH 属性 值 中 对 应 位 的 值 为 0。 


6.12 将 元 文件 $MFT 记录 分 类 值 填 人 表 6.99 相应 位 置 。 
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表 6.99 元 文件 $MFT 记录 分 类 表 


记录 类 型 = 
aait 文件 记录 文件 夹 记录 卷 标记 录 
是 否 有 效 ? 有 效 无 效 有 效 无 效 有 效 
元 文件 $ MFT 的 BOH 属性 值 所 对 应 位 的 值 
该 记录 头 偏 移 0X016 处 bit, 的 值 
该 记录 头 偏 移 0X016 处 bit 的 值 
6.13 ”元 文件 $MFT 中 的 每 条 记录 均 由 和 4 部 
分 组 成 。 一 般 情况 下 ,记录 头 的 长 度 是 固定 的 ,而 属性 的 长 度 往往 是 不 固定 的 ,属性 的 分 配 是 
以 个 字 节 为 单位 。 
6.14 在 NTFS 文件 系统 中 ,元 文件 $MFT 的 0 号 记录 由 记录 头 、 属性 、 
属性 、 属性 、 属性 、 记 录 结 束 标志 和 无 用 数据 组 成 。 
6.15 Æ NTFS 文件 系统 中 ,元 文件 $MFT 的 1 号 记录 由 记录 头 、 属性 、 
属性 、 属性 、 记 录 结 束 标志 和 无 用 数据 组 成 。 
6. 16 一 个 属性 根据 其 是 否 有 属性 体 可 以 分 为 两 种 情况 : 一 种 情况 是 该 属性 只 有 
而 无 ,这 种 情况 一 般 只 存在 于 文本 文件 记录 的 属性 中 , 且 文 本 文件 的 内 容 为 
,该 属性 的 长 度 一 般 为 个 字 节 。 另 外 一 种 情况 是 该 属性 ,该 属性 由 
两 部 分 组 成 : HJ 和 ( 即 属性 内 容 ); 对 于 这 种 情况 ,根据 其 属性 体 是 否 常 驻 和 
该 属性 是 否 有 属性 名 ,可 以 分 为 4 种 不 同 的 类 型 , 即 š š 和 
6.17 H 盘 元 文件 $MFT 的 某 记 录 如 图 6. 87 所 示 。 请 回答 下 列 问题 : 


(1) 该 记录 由 记录 头 和 哪 几 个 属性 组 成 ”请 将 记录 头 和 各 属性 地 址 范围 划分 情况 填 人 到 
K 6.100 对 应 下 面 线 处 。 

(2) 该 记录 分 配 长 度 是 1024 字 节 ,而 实际 长 度 为 多 少 字 节 ? 

(3) 地 址 0X06308DFE 一 0X06308DFF 和 地 址 0X06308FFE—0X06308FFF 的 均值 为 “17 00” 
(存储 形式 ) ,而 这 两 处 地 址 真正 的 值 分 别 是 多 少 (存储 形式 )? 

(4) 该 记录 描述 的 是 文件 记录 还 是 文件 夹 记录 ? 为 什么 ? 

O 写 出 在 资源 管理 器 中 查看 到 的 文件 名 或 者 是 文件 夹 名 。 

(6) 该 记录 的 记录 号 是 多 少 ? 

(7) 写 出 该 记录 A0H 属性 中 的 数据 运行 列表 。 

(8) 请 将 该 记录 中 的 5 个 属性 是 否 常 驻 代 码 ( 即 属性 字 节 偏 移 0X08 处 的 值 ) 和 是 否 有 属 
性 名 代码 ( 即 属性 字 节 偏 移 0X09 处 的 值 ) 填 人 到 表 6. 100 中 相应 单元 格 中 。 

(9) 将 这 5 个 属性 的 属性 类 型 分 别 填 人 到 表 6. 100 对 应 单元 格 中 。 


Offset 

06308C00 
06308C10 
06308C20 
06308C30 
06308C40 
06308C50 
06308C60 


01234567 
46 49 4C 45 30 00 03 00 DD 3D 10 00 
01 00 01 00 38 00 03 00 D0 01 00 00 
00 00 00 00 00 00 00 00 06 00 00 00 

17 00 Ci og poog 

00 00 00 00 00 00 00 00 48 00 00 00 18 00 00 00 
02 B9 C4 04 E4 61 DO 01 E2 4C C9 04 E4 61 DO 01 
E2 4C C9 04 E4 61 DO 01 E2 4C C9 04 E4 61 DO 01 


8 9ABCDEF 
00 
00 
23 
00 00 10 00 00 00 60 
8 


. 鼓 . BESEIRE? 
SEEE? 


图 6.87 H 盘 元 文件 $ MFT 的 某 记 录 
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06308C70 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 

06308C80 00 00 00 00 05 01 00 00 00 00 00 00 00 00 00 00 

06308C90 00 00 00 00 00 00 00 00 30 00 00 00 60 00 00 00 

06308CA0 00 00 00 00 00 00 02 00 48 00 00 00 18 00 01 00 

06308CBO 05 00 00 00 00 00 05 00 02 B9 C4 04 E4 61 DO 01 

06308CCO 02 B9 C4 04 E4 61 DO 01 02 B9 C4 04 E4 61 DO 01 

06308CD0 02 B9 C4 04 E4 61 DO 01 00 00 00 00 00 00 00 00 

06308CE0 00 00 00 00 00 00 00 00 00 00 00 10 00 00 00 00 

06308CFO 03 03 61 00 31 00 36 00 90 00 00 00 58 00 00 00 

06308D00 00 04 18 00 00 00 05 00 38 00 00 00 20 00 00 00 

06308D10 24 00 49 00 33 00 30 00 30 00 00 00 01 00 00 00 

06308D20 00 10 00 00 01 00 00 00 10 00 00 00 28 00 00 00 

06308D30 28 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 

06308D40 18 00 00 00 03 00 00 00 00 00 00 00 00 00 00 00 

06308D50 AO 00 00 00 50 00 00 00 01 04 40 00 00 00 03 00 

06308D60 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 

06308D70 48 00 00 00 00 00 00 00 00 10 00 00 00 00 00 00 

06308D80 00 10 00 00 00 00 00 00 00 10 00 00 00 00 00 00 

06308D90 24 00 49 00 33 00 30 00 21 01 53 61 00 00 00 00 

06308DA0 BO 00 00 00 28 00 00 00 00 04 18 00 00 00 04 00 

06308DBO 08 00 00 00 20 00 00 00 24 00 49 00 33 00 30 00 

06308DCO 01 00 00 00 00 00 00 00 FF FF FF FF 82 79 47 11 

06308DD0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 

06308DE0 20 00 00 00 00 00 00 00 07 03 61 00 30 00 31 00 

06308DFO 2E 00 74 00 78 00 74 00 26 00 00 00 00 00 

06308E00 60 00 50 00 00 00 00 00 23 00 00 00 00 00 01 00 `.P.....#. .. 
06308E10 42 C6 C7 04 E4 61 DO 01 00 D4 1F D7 61 4B CC 01 Bí. #E?. 288 K? 
06308E20 42 C6 C7 04 E4 61 DO 01 42 C6 C7 04 E4 61 DO 01 Bf. #£?B ML. ME? 
06308E30 00 00 00 00 00 00 00 00 ... 

06308E40 20 00 00 00 00 00 00 00 

06308E50 2E 00 74 00 78 00 74 00 

06308E60 60 00 50 00 00 00 00 00 à 

06308E70 42 C6 C7 04 E4 61 DO 01 B f. B£: 
06308E80 42 C6 C7 04 E4 61 DO 01 42 C6 C7 04 E4 61 DO 01 Bf. B£?B 
06308E90 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ... 

06308EA0 20 00 00 00 00 00 00 00 07 03 61 00 30 00 33 00 

06308EBO 2E 00 74 00 78 00 74 00 28 00 00 00 00 00 01 00 

06308EC0 60 00 50 00 00 00 00 00 23 00 00 00 00 00 01 00 `.P.....#. z 
06308ED0 42 C6 C7 04 E4 61 DO 01 00 D4 1F D7 61 4B CC 01 Bí. #E?. ?让 K? 
06308EE0 42 C6 C7 04 E4 61 DO 01 42 C6 C7 04 E4 61 DO 01 Bí. #E?B Mi. gz? 
06308EFO 00 00 00 00 00 00 00 00 a 

06308F00 20 00 00 00 00 00 00 00 

06308F10 2E 00 74 00 78 00 74 00 .. 
06308F20 60 00 50 00 00 00 00 00 23 00 00 00 00 00 0100 `.P..... #...... 
06308F30 42 C6 C7 04 E4 61 DO 01 00 D4 1F D7 61 4B CC 01 D í. #£?. FaR K? 
06308F40 42 C6 C7 04 E4 61 DO 01 42 C6 B ffl. 锋 ?B 掀 . BE? 
06308F50 00 00 00 00 00 00 00 00 00 00 。 .. 
06308F60 20 00 00 00 00 00 00 00 07 03 

06308F70 2E 00 74 00 78 00 74 00 2A 00 

06308F80 60 00 50 00 00 00 00 00 23 00 

06308F90 42 C6 C7 04 E4 61 DO 01 00 D4 

06308FA0 42 C6 C7 04 E4 61 DO 01 42 C6 

06308FB0 00 00 00 00 00 00 00 00 00 00 

06308FC0 20 00 00 00 00 00 00 00 07 03 

06308FD0 2E 00 74 00 78 00 74 00 00 00 00 00 00 00 00 00 

06308FE0 10 00 00 00 02 00 00 00 FF FF FF FF 82 79 47 11 

06308FFO 00 00 00 00 00 00 00 00 00 00 00 00 00 00 [7 oq 


图 6.87 ( 续 ) 


表 6.100 再 盘 元 文件 $ MFT 某 记 录 头 与 属性 划分 情况 表 ( 十 六 进 制 数 ) 


@ 大 话 数 据 恢复 
属性 字 节 偏 移 ”属性 字 节 偏 移 


ELER 作 R FFER xosa  oxos 处 的 值 。 属性 类 型 


记录 头 38 
$ 属性 

< 属性 

属性 

S> 属性 

< 属性 

Sr 记录 结束 标志 8 
无 用 数据 


6.18 在 元 文件 $MFT 的 记录 中 ,经 常 使 用 的 属性 有 10H 属性 .30H 属性 ,80H 属性 、 
90H RHE, AOH 属性 和 BOH 属性 。 其 中 : 文件 记录 经 常 使 用 的 属性 有 属性 、 
属性 和 属性 ; 小 文件 夹 记录 经 常 使 用 的 属性 有 属性 、 属 
性 和 属性 ,大 文件 夹 记录 经 常 使 用 的 属性 有 属性 、 属性 、 
属性 、 属性 和 属性 。 而 有 些小 文件 夹 记录 使 用 的 属性 也 可 能 有 10H 属性 、 
30H 属性 .90H 属性 、 属性 和 属性 ,这 类 文件 夹 往往 是 由 小 文件 夹 变 为 大 文 
件 夹 后 再 变 为 文件 夹 而 形成 。 

6.19 ”在 元 文件 $ MFT 的 记录 中 ,经 常 使 用 的 属性 有 10H 属性 .30H 属性 .80H 属性 、 
90H RPE, AOH 属性 和 BOH 属性 。 其 中 : 在 文件 ( 夹 ) 记 录 中 ， 属性 和 属性 
是 常 驻 无 属性 名 属性 ; 在 文件 记录 中 ， 属性 比较 复杂 ,可 能 会 出 现 5 种 情况 , 即 只 有 
属性 头 而 无 属性 体 、 常 驻 无 属性 名 ,非常 驻 无 属性 名 ,非常 驻 有 属性 名 和 常 驻 有 属性 名 ; 在 文 
件 夹 记录 中 ， 属性 是 常 驻 有 属性 名 属性 ， 属性 是 非常 驻 有 属性 名 属性 ; 

属性 一 般 只 出 现在 元 文件 $ MFT 的 0 号 记录 和 某 些 文件 夹 记录 中 ,出 现在 元 文件 
$ MFT 的 0 号 记录 中 , 它 是 非常 驻 无 属性 名 属性 ; 而 出 现在 某 些 文件 夹 记录 中 ,总 是 与 
属性 成 对 出 现 , 一 般 情况 下 , 它 是 常 驻 有 属性 名 属性 。 

6.20 30H 属性 ( 即 文 件 名 属性 ) 属 于 常 驻 无 属性 名 的 属性 ,用 于 描述 文件 名 ,一 般 紧 跟 


在 10H 属性 (标准 属性 ) 之 后 ,如 果 一 个 文件 或 文件 夹 的 名 字 长 度 超过 个 字符 时 ,在 
记录 中 将 会 有 两 个 属性 ,一 个 描述 的 是 文件 ( 夹 ) 名 ,而 另 一 个 描述 的 是 
文件 ( 夹 ) 名 。 


6.21 某 逻 辑 盘 的 文件 系统 为 NTFS, 元 文件 $MFT 某 记 录 如 图 6. 88 所 示 。 请 回答 下 
列 问题 ( 注 : 素材 文件 为 zy6_21. vhd,11985 号 记录 ) 。 

(1) 该 记录 由 记录 头 和 哪 几 个 属性 组 成 ? 请 将 各 属性 的 划分 情况 填 人 到 表 6. 101 对 应 单 
元 格 下 画 线 处 。 

(2) 该 记录 描述 的 是 一 个 文件 , 它 有 两 个 30H 属性 ,请 写 出 这 两 个 30H 属性 所 描述 的 文 
件 名 ,用 户 在 资源 管理 器 中 看 到 的 文件 名 是 哪 一 个 ? 

(3) 该 记录 的 记录 号 是 多 少 ? 

(4) 写 出 该 记录 80H 属性 中 的 数据 运行 列表 ; 提示 : 由 于 数据 运行 列表 位 于 第 1 扇 区 结 
RAE 2 个 扇 区 开始 位 置 ,请 注意 第 1 个 扇 区 的 最 后 两 个 字 节 的 值 “02 00”。 

(5) 该 文件 内 容 被 划分 为 几 段 存储 ? 请 写 出 各 段 LCN 的 范围 。 

(6) 该 文件 内 容 共 占 多 少 个 复 ? 开始 VCN 和 结束 VCN 分 别 是 多 少 ? 请 分 别 写 出 该 文 


Offset 

06EB4400 
06EB4410 
06EB4420 
06EB4430 
06EB4440 
06EB4450 
06EB4460 
06EB4470 
06EB4480 
06EB4490 
06EB44A0 
06EB44B0 
06EB44C0 
06EB44D0 
06EB44E0 
06EB44F0 
06EB4500 
06EB4510 
06EB4520 
06EB4530 
06EB4540 
06EB4550 
06EB4560 
06EB4570 
06EB4580 
06EB4590 
06EB45A0 
06EB45B0 
06EB45C0 
06EB45D0 
06EB45E0 
06EB45F0 
06EB4600 


01234567 
46 49 4C 45 30 00 03 00 


8 9ABCDEF 
29 5B A0 00 00 00 00 00 


04 00 02 00 38 00 01 00 


10 02 00 00 00 04 00 00 


00 00 00 00 00 00 00 00 


07 00 00 00 D1 2E 00 00 


02 00 |87 ød 00 00 00 00 
00 00 00 00 00 00 00 00 
A5 4F 9F OE E4 61 DO 01 
1D 89 DC B7 EE 5B D2 01 
20 00 00 00 00 00 00 00 
00 00 00 00 07 01 00 00 
00 00 00 00 00 00 00 00 
00 00 00 00 00 00 05 00 


10 00 00 00 60 00 00 00 
48 00 00 00 18 00 00 00 
40 DF D2 B7 EE 5B D2 01 
F9 59 C2 B7 EE 5B D2 01 
00 00 00 00 00 00 00 00 
00 00 00 00 00 00 00 00 
30 00 00 00 78 00 00 00 
5A 00 00 00 18 00 01 00 


2E 3C 00 00 00 00 01 00 


A5 4F 9F OE E4 61 DO 01 


40 DF D2 B7 EE 5B D2 01 


FC 64 D5 B7 EE 5B D2 01 


F9 59 C2 B7 EE 5B D2 01 


00 90 00 00 00 00 00 00 


00 86 00 00 00 00 00 00 


20 00 00 00 00 00 00 00 


42 00 43 00 
44 00 4F 00 


44 00 45 00 46 00 7E 00 
43 00 6D 00 6E 00 6F 00 


80 00 00 00 
18 00 01 00 
E4 61 DO 01 
EE 5B D2 01 
00 00 00 00 
00 00 00 00 
66 00 67 00 
6E 00 6F 00 
28 00 00 00 


64 00 65 00 


00 00 00 00 00 00 04 00 
2E 3C 00 00 00 00 01 00 
40 DF D2 B7 EE 5B D2 01 
F9 59 C2 B7 EE 5B D2 01 
00 86 00 00 00 00 00 00 
13 01 61 00 62 00 63 00 
68 00 69 00 6A 00 6B 00 
2E 00 64 00 6F 00 63 00 
00 00 00 00 00 00 06 00 


10 00 00 00 18 00 00 00 
9F AC AD 6A 90 A4 20 92 
01 00 00 00 00 00 03 00 
08 00 00 00 00 00 00 00 
00 90 00 00 00 00 00 00 


00 86 00 00 00 00 00 00 BI 01 D9 45 21 03 02 00 


Q1 02 B3 21 03 CA FE 00 


34 98 CA B9 DE C7 E6 11 
80 00 00 00 50 00 00 00 
00 00 00 00 00 00 00 00 
40 00 00 00 00 00 00 00 
00 86 00 00 00 00 00 00 


FF FF FF FF 82 79 47 11 


6.88 某 逻 辑 盘 元 文件 $ MFT 的 某 记录 
件 内 容 开 始 VCN 和 结束 VCN 在 文件 记录 80H 属性 中 的 存储 形式 。 


(7) 该 文件 内 容 分 配 空间 ,初始 化 空间 和 实际 空间 分 别 是 多 少 字 节 ? 
(8) 根据 该 文件 内 容 分 配 空间 和 所 占 簇 数 ,计算 该 逻辑 盘 每 个 簇 的 扁 区 数 。 
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EFILEO...)[9.... 


“aza Hisia 52 
E OE dkg 
-BEZ [S 


Ga BE? 


E T š 
x 
1... D. 0. C. m. n. o. 
(NE @.. 

| krsna 
#8?i86?en 3 [? 
TERRO? 


a. b. c. 


d. e. f. g. h. i. j. k. 
1. m. n. 0. . . d. 0. €. 


. . ?. WK. fÉ G. 


表 6.101 某 记录 头 与 属性 划分 情况 表 (十 六 进 制 数 ) 
地 址 范 作 H 所 占 字 节 数 地 址 范围 f J 所 占 字 节 数 
Re 记录 头 38 ~ 属性 
= 属性 ee 属性 
属性 = 记录 结束 标志 8 
全 属性 2 无 用 数据 


6.22 H 盘 每 个 簇 的 扇 区 数 为 8, 在 H # Word 文件 夹 中 有 一 个 名 为 a08. txt 的 文件 ,使 
用 记事 本 打开 该 文件 后 ,文件 内 容 如 图 6. 89 所 示 。 该 文件 在 元 文件 $ MFT 中 的 记录 如 图 6. 90 
所 示 。 请 回答 下 列 问题 。 
(1) 地 址 0X0720B5FE—0X0720B5FF 和 地 址 0X6720B7FE—0720B7FF 的 均值 为 “04 00”( 存 
储 形式 ) ,请 写 出 这 两 处 地 址 真正 的 值 (存储 形式 ) 。 


L 大 话 数据 恢复 


Offset 

0720B400 
0720B410 
0720B420 
0720B430 
0720B440 
0720B450 
0720B460 
0720B470 
0720B480 
0720B490 
0720B4A0 
0720B4B0 
0720B4C0 
0720B4D0 
0720B4E0 
0720B4F0 
0720B500 
0720B510 
0720B520 
0720B530 
0720B540 
0720B550 
0720B560 
0720B570 
0720B580 
0720B590 
0720B5A0 
0720B5B0 
0720B5C0 
0720B5D0 
0720B5E0 
0720B5F0 
0720B600 
0720B610 
0720B620 
0720B630 


1234581 179 
46 49 4C 45 30 00 03 00 
01 00 01 00 38 00 01 00 
TET 00 HE 00 00 00 00 00 


pa od br Fa Do od oo oo 


E 00 


00 


ABCDEFGHI JKLMNOPQRSTUVWXYZ 

0123456789 

abcdefghi jklmnopqrstuvwxyz 

0123456789 

云南 省 昆明 市 

人 生 什么 最 重要 ? 

名 思路 清晰 远 比 卖力 苦 干 重要 ; 
外 心 态 正 确 远 比 现实 表现 重要 ; 
选 对 方向 远 比 努力 做 事 重 要 
做 对 的 事情 远 比 EERUN Š 

@ 拥 有 远见 比 拥有 资产 重要 ; 

pH phar iY 
拥有 健康 比 拥 有 人 金钱 重要 ! 


a 


ET 


6.89 使 用 记事 本 打开 a08. txt 文件 后 


8 9ABC 
39 OE E8 00 00 
[ro 03 00 od o0 


10 00 00 00 60 


00 00 00 00 00 48 00 00 00 18 


DEF 
00 00 00 
04 00 00 


04 00 00 00 D 3C 00 00 


00 00 00 
00 00 00 


05 C9 
A5 71 
20 00 


9D 
45 
00 


OE E4 61 DO 01 
B4 4B BA D1 01 
00 00 00 00 00 


00 85 El DO 21 
05 C9 9D 0E E4 
00 00 00 00 00 


61 DO 01 
61 DO 01 
00 00 00 


00 00 


00 


00 06 01 00 00 00 00 00 00 00 


00 00 00 


00 00 
00 00 
24 3C 
05 C9 
05 C9 
00 00 
07 03 
40 00 
10 00 
BF_7A 


BE D9 E3 58 EA 


00 00 
41 42 
51 52 
34 35 


69 6A 6B 6C 6D 


79 7A 
D4 C6 
C9 FA 
A2 D9 
C1 A6 
DO C4 
B1 ED 
B6 D4 
CA C2 
B5 C4 
D7 F6 
D3 DO 


00 
00 
00 
9D 
9D 
00 
61 
00 
00 
D4 
18 
43 
53 
36 


0D 
C4 
CA 
CB 
BF 
CC 
CF 
B7 
D6 
CA 
B6 
D4 


00 00 00 00 00 
00 00 00 02 00 
00 00 00 01 00 
OE E4 61 DO 01 
OE E4 61 DO 01 
00 00 00 00 00 
00 30 00 38 00 
00 28 00 00 00 
00 18 00 00 00 


30 00 00 00 68 
50 00 00 00 18 
05 C9 9D OE E4 
05 C9 9D OE E4 
00 00 00 00 00 
20 00 00 00 00 
2E 00 74 00 78 
00 00 00 00 00 
61 D5 F7 90 C5 
80 00 00 00 40 
[26 02 00 0d 18 
49 4A 4B 4C 4D 
59 5A OD 0A 30 
61 62 63 64 65 
71 72 73 74 75 
34 35 36 37 38 
C3 F7 CA DO 0D 
D6 D8 D2 AA A3 
CE FA D4 B6 B1 
D2 AA A3 BB 0D 
D4 B6 B1 C8 CF 
A3 BB OD OA A2 
B1 C8 C5 AC C1 
OD OA A2 DC D7 
B1 C8 BO D1 CA 
A3 BB OD OA A2 
D3 B5 D3 DO D7 


00 00 00 01 
44 45 46 47 
54 55 56 57 
37 38 39 0D 
6E 6F 
31 32 
Al C0 
B4 D7 
B7 C7 
C9 D6 D8 
FD C8 B7 
D8 D2 AA 
BD CF F2 D4 B6 
D8 D2 AA A3 BB 
C2 C7 E9 D4 B6 
D4 D6 D8 D2 AA 
B6 BC FB B1 C8 


00 
48 
58 
OA 
70 
33 
A5 
EE 
E5 


0A 30 
CF CA 
B2 C3 
BC C2 
E0 B8 
AC D5 
D6 D6 


00 00 00 
00 01 00 
61 DO 01 
61 DO 01 
00 00 00 
00 00 00 
00 74 00 
00 03 00 
5E E6 11 
02 00 00 
00 00 00 
4E 4F 50 
31 32 33 
66 67 68 
76 77 78 
39 0D 0A 
0A C8 CB 
BF 0D 0A 
C8 C2 F4 
OA A2 DA 
D6 CA B5 
DB D1 Al 
x 
F6 B6 D4 
C2 C7 E9 
DD D3 B5 
CA B2 FA 


图 6.90 a08.txt 文 件 的 记录 


E ASA. . ?. g£? 


ABCDEFGHIJKLMNOP 
QRSTUVWXYZ. . 0123 
456789. . abcdefgh 
ijklmnopqrstuvwx 
yz. . 0123456789. . 
云南 省 昆明 市 .. 人 
生 什么 最 重要 ? . . 
四 思路 清晰 远 比 卖 
HEFE .加 
心态 正确 远 比 现实 
表现 重要 ; . . @ 选 
对 方向 远 比 努力 . . 
FEH, ..@ 做 对 
的 事情 远 比 把 事情 
做 对 重要 ; . . Oğ 
有 远见 比 拥 有 资产 
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0720B640 D6 D8 D2 AA A3 BB OD OA A2 DE D3 B5 D3 DO C4 DC 重要 ; ..@ 拥 有 能 
0720B650 C1 A6 B1 C8 D3 B5 D3 DO D6 AA CA B6 D6 D8 D2 AA 力 比 拥有 知识 重要 ; 
0720B660 A3 BB OD OA A2 DF D3 B5 D3 DO BD Al BF B5 B1 C8 ..@ 拥 有 健康 比 
0720B670 D3 B5 D3 DO BD FO C7 AE D6 D8 D2 AA A3 Al 0D 0A 拥有 金钱 重要 ! . . 
0720B680 OD OA OD OA C8 CB C9 FA CA B2 C3 B4 D7 EE D6 D8 .... 人 生 什么 最 重 
0720B690 D2 AA A3 BF OD OA A2 D9 CB BC C2 B7 C7 E5 CE FA 要? ..@ 思 路 清晰 
0720B6A0 D4 B6 Bl C8 C2 F4 C1 A6 BF EO B8 C9 D6 D8 D2 AA 远 比 卖力 苗 干 重要 ; 
0720B6BO A3 BB OD OA A2 DA DO C4 CC AC D5 FD C8 B7 D4 B6 “..@ 心 态 正确 远 
0720B6C0 B1 C8 CF D6 CA B5 B1 ED CF D6 D6 D8 D2 AA A3 BB ”上 比 现 实 表现 重要 ; 
0720B6D0 OD OA A2 DB D1 Al B6 D4 B7 BD CF F2 D4 B6 B1 C8  ..@ 选 对 方向 远 比 
0720B6E0 C5 AC C1 A6 D7 F6 CA C2 D6 D8 D2 AA A3 BB 0D 0A 努力 做 事 重要 ;.. 
0720B6FO A2 DC D7 F6 B6 D4 B5 C4 CA C2 C7 E9 D4 B6 B1 C8  @@ 做 对 的 事情 远 比 
0720B700 BO D1 CA C2 C7 E9 D7 F6 B6 D4 D6 D8 D2 AA A3 BB ”把 事情 做 对 重要 ; 
0720B710 OD OA A2 DD D3 B5 D3 DO D4 B6 BC FB B1 C8 D3 B5 ..@ 拥 有 远见 比 
0720B720 D3 DO D7 CA B2 FA D6 D8 D2 AA A3 BB OD 0A A2 DE ”有 资产 重要 ; ..@ 
0720B730 D3 B5 D3 DO C4 DC Cl A6 B1 C8 D3 B5 D3 DO D6 AA 拥有 能 力 比 拥有 知 
0720B740 CA B6 D6 D8 D2 AA A3 BB OD OA A2 DF D3 BB D3 DO WEE; .. OWA 
0720B750 BD Al BF B5 B1 C8 D3 B5 D3 DO BD FO C7 AE D6 D8 ”健康 比 拥有 金钱 重 
0720B760 D2 AA A3 Al OD OA 00 00 ZF FF FF FF 82 79 4711 要 ! .... 你 G. 
人 ( 注 : 省 略 部 分 为 全 00) 
0720B7F0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 p4 00 _................ 


6.90 (#) 


(2) 根据 a08. txt 文件 内 容 , 写 出 表 6.102 中 英文 字母 .数字 、 汉 字 和 控制 符 对 应 的 ASCH 
码 (存储 形式 ) ,并 将 结果 填 人 到 表 6. 102 对 应 单元 格 中 。 
表 6.102 a08. txt 文件 内 容 对 应 字符 .汉字 和 控制 符 的 ASCII 码 (十 六 进 制 ) 

字符 z | SX SNI NMT OSTƏF | SIRIJO PONI W| kp | É 
ASCII 码 
字符 y x w v u t s r q p o n m 1 k 
ASCII 码 
zA lojis ls S| | $) sjaj] Sjela] e]. t 
ASCII 码 
汉字 人 生 $ 
ASCII 码 
控制 符 回 车 符 换行 符 
ASCII 码 


N 
a 
用 
G 


(3) 根据 a08. txt 文件 内 容 , 写 出 表 6.103 中 ASCI 码 ( 存 储 形 式 ) 对 应 的 英文 字母 、 数 
字 、 汉 字 和 控制 符 ,并 将 结果 填 人 到 表 6. 103 对 应 单元 格 中 。 


表 6.103 a08. txt 文 件 内 容 对 应 字符 、 汉 字 和 控制 符 的 ASCH 码 ( 十 六 进 制 ) 


ASCII 码 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 4A | 4B | 4C | 4D | 4E | 4F | 50 
字符 
ASCII 码 61 | 62 | 63 | 64 | 65 | 66 | 67 | 68 | 69 | 6A | 6B | 6C | 6D | 6E |6F | 70 


字符 
ASCII E 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 61 | 62 | 63 | 64 | 65 | 6 


字符 


@ 大 话 数据 恢复 


续 表 
ASCII 码 D4 C6 C4 CF CA A1 Co A5 C3 F7 CA D0 C8 CB C9 FA 
汉字 
ASCII 码 0D 0A 
控制 符 


性 将 


据 0 号 记录 BOH 属性 的 数据 运行 列表 ,计算 元 文件 $ MFT 的 记录 号 共 占 用 了 H 盘 的 哪 几 个 


(4) 该 记录 的 80H 属性 共 占 多 少 字 节 ? 
(5) 在 资源 管理 器 中 使 用 文件 属性 查看 a08. txt 文件 大 小 是 多 少 字 节 ? 


(6) 如 果 使 用 记事 本 打开 该 文件 ,在 该 文件 的 最 后 再 添加 多 少 个 汉字 ,该 记录 的 80H 属 
常 驻 属性 变 为 非常 驻 属性 ? 


(7) a08. txt 文件 在 元 文件 $ MFT 中 的 记录 号 是 多 少 ? 
(8) 元 文件 $ MFT 的 0 号 记录 BOH 属性 的 数据 运行 列表 为 "21 01 FF 62 11 01 FF”, 根 


HEK? 以 及 每 个 扇 区 号 所 表示 记录 号 的 范围 。 


移 和 


(9) 计算 a08. txt 的 记录 号 在 元 文件 $MFT 的 BOH 属性 值 中 的 位 置 ( 即 扇 区 号 、 扇 区 偏 


字 节 位 )。 


(10) 假设 删除 a08. txt 文件 前 ,a08. txt 的 记录 号 在 元 文件 $ MFT 的 0 号 记录 BOH 属性 
值 中 位 置 字 节 的 值 是 “FF”( 十 六 进 制 ) ,将 a08. txt 文件 删除 并 清空 回收 站 后 ,a08. txt 的 记录 


号 在 元 文件 $ MFT 的 0 号 记录 BOH 属性 值 中 位 置 字 节 的 值 是 多 少 (十 六 进 制 )? 
(11) 如 果 回 收 站 已 空 ,删除 a08. txt 文件 ,并 将 回收 站 清空 ,H 盘 的 已 使 用 空间 和 自由 空 
间 会 有 变化 吗 ? 为 什么 ? 


6.23 H 盘 每 个 复 的 扇 区 数 为 8, 在 H 盘 Word 文件 夹 中 有 一 个 名 为 a01. doc 的 文件 ,该 


文件 在 元 文件 $ MFT 中 的 记录 如 图 6. 91 所 示 ( 注 : 无 用 数据 已 被 删除 ) 。 请 回答 以 下 问题 ， 


Offset 

07219C00 
07219C10 
07219C20 
07219C30 
07219C40 
07219C50 
07219C60 
07219C70 
07219C80 
07219C90 
07219CA0 
07219CB0 
07219CC0 
07219CD0 
07219CE0 
07219CF0 
07219D00 
07219D10 
07219D20 
07219D30 
07219D40 
07219D50 
07219D60 
07219D70 


0 
46 
01 
00 
07 
00 
c5 
co 
20 


1 2 
49 4C 
00 01 
00 00 
00 00 
00 00 
BB 9A 
DA C8 
00 00 
00 00 
00 00 
00 00 
3C 00 
E3 7D 
FO 6A 
12 01 
03 61 
00 00 


34567 
45 30 00 03 00 
00 38 00 01 00 
00 00 00 00 00 
00 00 00 00 00 
00 00 00 00 00 
OE E4 61 DO 01 
A7 OE 65 DO 01 
00 00 00 00 00 
00 07 01 00 00 
00 00 00 00 00 
00 00 00 04 00 
00 00 00 01 00 
A6 OE 65 DO 01 
A6 OE 65 DO 01 
00 00 00 00 00 
00 30 00 31 00 
00 28 00 00 00 


8689 ABCDEF 
FB 50 68 00 00 00 00 00 
80 01 00 00 00 04 00 00 


06 00 00 00 


0 
10 00 00 00 60 00 00 00 
48 00 00 00 18 00 00 00 
80 E3 7D A6 OE 65 DO 01 
77 FO 6A A6 OE 65 DO 01 
00 00 00 00 00 00 00 
00 00 00 00 00 00 00 
30 00 00 00 68 00 00 
50 00 00 00 18 00 01 
C5 BB 9A OE E4 61 DO 
DA 5C 80 A6 OE 65 DO 
00 20 01 00 00 00 00 
20 00 00 00 00 00 00 
2E 00 64 00 6F 00 63 


00 12 01 00 00 00 00 


00 


12 01 00 00 00 00 00 E1 08 3F 47 11 07 BC 


bs 1C 00 00 00 50 33 80) 


图 6. 91 


FF FF FF FF 82 79 47 11 
a01. doc 文件 的 记录 


H. 


MBEE 8? 
FEW. e?w 银 ?e9 
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(1) a01. doc 文件 在 元 文件 $ MFT 中 的 记录 号 是 多 少 ? 

(2) 计算 a01. doc 文件 记录 号 在 元 文件 $MFT 的 BOH 属性 值 中 的 位 置 ( 即 扇 区 号 A 
偏 移 和 字 节 位 ) 。 

(3) a01. doc 文件 记录 的 80H 属性 共有 3 个 数据 运行 列表 ; 将 这 3 个 数据 运行 列表 填 人 
到 表 6. 104 对 应 单元 格 中 ,计算 各 有 段 的 开始 簇 号 、 结 束 簇 号 和 所 占 簇 数 ,并 将 结果 填 入 到 表 6. 104 
对 应 单元 格 中 。 

表 6.104 a01. doc 文件 记录 的 80H 属性 数据 运行 列表 结构 含义 表 
各 有 段 开始 簇 号 各 有 段 结束 簇 号 各 段 所 占 复数 
十 六 进 制 | 十 进 制 | 十 六 进 制 | 十 进 制 | 十 六 进 制 | 十 进 制 


段 号 数据 运行 列表 


(4) 将 a01. doc 文件 内 容 LCN 与 VCN 对 应 关系 填 人 到 表 6. 105 对 应 单元 格 中 。 
表 6.105 a01. doc 文件 的 LCN 与 VCN 的 对 应 关系 


Rs | 开始 | 下 一 | T- |-|]. 下 一 | 下 一 和 下 一 | 结束 
LCN/VCN 能 号 | 能 号 RS | 能 号 | ES R5 | 馈 号 | 能 号 | 能 号 
十 六 进 制 oe 

saa | | | T | 
十 六 进 制 | 
VCN 十 进 制 oo 
段 号 HIE 第 2 自 第 3 自 


(5) 使 用 a01. doc 文件 记录 80H 属性 中 的 数据 运行 列表 ,计算 a01. doc 文件 内 容 结束 
VCN ,将 开始 VCN 和 结束 VCN 的 存储 形式 分 别 填 入 到 图 6. 91 地 址 07219D38 一 9D3F 和 地 
址 07219D40—9D47 处 。 

(6) 计算 系统 分 配给 a01. doc 文件 内 容 的 空间 (单位 : 字 节 ); 将 系统 分 配给 a01. doc X 
件 内 容 的 空间 在 80H 属性 中 的 存储 形式 填 人 到 图 6. 91 地 址 07219D50—9D57 处 。 

(7) 计算 a01. doc 文件 内 容 这 3 个 段 的 开始 徐 号 和 结束 簇 号 分 别 在 元 文件 $ Bitmap 中 的 
扇 区 号 、 扇 区 偏 移 和 字 节 位 ,并 将 结果 填 人 到 表 6. 106 对 应 单元 格 中 。 

表 6.106 a01.doc 文件 记录 80H 属性 数据 运行 列表 结构 含义 表 
开始 | ”开始 簇 号 在 元 文件 $ Bitmap 中 位 置 | 结束 | ”结束 能 号 在 元 文件 $ Bitmap 中 位 置 
S | AKS | AKAB | 字 节 位 |85| BES | HERE | 字 节 位 


段 号 


(8) a01. doc 文件 内 容 这 3 个 段 的 簇 号 位 图 均 在 元 文件 $ Bitmap 同一 个 扇 区 ,图 6. 92 为 
a01. doc 文件 内 容 这 3 个 段 的 簇 号 位 图 在 元 文件 $ Bitmap 的 前 256 字 节 ,请 根据 图 6. 91 所 存 
储 的 值 , 写 出 a01. doc 文件 内 容 这 3 段 开 始 簇 号 和 结束 簇 号 所 在 扇 区 偏 移 地 址 的 值 ; 如 果 将 


@ 大 话 数据 恢复 


a01. doc 文件 删除 ,并 清空 回收 站 ,这 3 段 所 占 簇 号 位 图 的 值 将 会 变 为 何 值 ? 请 将 变化 后 的 值 


写 在 对 应 字 节 的 正 下 方 。 
Offset 01234567 89ABCDEF 
062FB800 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
062FB810 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
062FB820 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
062FB830 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
062FB840 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
062FB850 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
062FB860 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
062FB870 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
062FB880 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
062FB890 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
062FB8A0 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
062FB8B0 FF FF FF FF FF FF FF FF FF C7 00 00 E0 F8 FF FF 
062FB8C0 FF FF FF FF FF FF FF FF FF FF 00 00 00 00 00 00 
062FB8D0 00 00 FO FF FF FF FF FF FF FF FF FF FF FF FF FF 
062FB8E0 FF FF 80 03 00 00 00 FC 7F 00 00 00 FO FF FF FF 
O62FB8FO 1B 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 


6.92 a01. doc 文 件 内 容 所 占 位 图 扇 区 的 前 256 字 节 


(9) H 盘 回 收 站 已 空 ,如果 将 a01. doc 文件 删除 ,并 清空 回收 站 ,H 盘 的 自由 空间 和 已 使 
用 空间 有 何 变化 ? 

6.24 设计 一 个 实验 ,验证 小 文件 ( 即 文件 的 内 容 非常 少 ,甚至 只 有 1 字 节 ) 记 录 的 80H 
属性 也 有 可 能 是 非常 驻 属性 。 

6.25 设计 一 个 实验 ,通过 NTFS 文件 系统 的 元 文件 $ Bitmap、 每 个 篮 的 扇 区 数 以 及 元 
XAF $ BadClus ,计算 NTFS 文件 系统 的 已 使 用 空间 。 

(1) 通过 元 文件 $ MFT 的 8 号 记录 即 元 文件 $ BadClus 记录 80H 属性 获得 坏 复 号 ,也 就 
是 NTFS 文件 系统 的 最 后 一 个 簇 号 。 

(2) 通过 元 文件 $ MFT 的 6 号 记录 获得 元 文件 $ Bitmap 内 容 的 开始 LCN 和 结束 LCN., 

(3) 确定 NTFS 文件 系统 的 最 后 一 个 簇 号 在 元 文件 $ Bitmap 内 容 中 的 位 置 。 

(4) 将 光标 移动 到 元 文件 $ Bitmap 内 容 开 始 扁 区 号 的 开始 位 置 , 右 击 ,从 弹出 的 快捷 菜 
单 中 选择 定义 “ 块 首 ”, 将 光标 移动 到 NTFS 文件 系统 最 后 一 个 簇 号 在 元 文件 $ Bitmap 中 的 位 
置 , 右 击 , 从 弹出 的 快捷 菜单 中 选择 定义 “ 块 尾 ”。 

(5) 选择 WinHex 菜单 栏 上 的 “编辑 ”>“Copy Block”— “Hex 数值 ”。 

(6) 建立 并 打开 一 个 Word 文档 ,选择 Word 菜单 栏 上 的 “编辑 >“ 粘贴”。 

CT) 选择 Word 菜单 栏 上 的 “编辑 ”一 “查找 ” ,在 出 现 “ 查 找 和 替换 ”窗口 中 ,选择 “替换 ” 选 


项 卡 。 
(8) 在 “查找 内 容 " 文 本 框 中 输入 “F”, 单 击 “ 全 部 替换 ”按钮 ,替换 结束 后 ,在 弹出 的 窗口 中 
显示 “F” 的 个 数 , 将 “F” 的 个 数 填 入 到 表 6. 107 对 应 单元 格 中 。 

(9) 重复 第 8 步 14 次 ,分 别 在 “查找 内 容 ” 文 本 框 中 输入 “*E”~“1”, 并 将 “E”~“1” 的 个 数 
HARK 6. 107 对 应 单元 格 中 。 

daO 十 六 进 制 数 中 “F” 至 “1” 包 含 二 进 制 位 1 的 个 数 , 见 表 6.108 所 列 。 
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表 6.107 位 图 文件 $ Bitmap 中 “F”~“1” 的 数量 
位 图 值 数量 位 图 值 数量 位 图 值 数量 位 图 值 数量 位 图 值 数量 


F C 9 6 3 
E B 8 5 2 
D A f 4 


十 六 ”对 应 二 进 制 中 | 十 六 ”对 应 二 进 制 中 | 十 六 对 应 二 进 制 中 ‖ 十 六 对 应 二 进 制 中 
进 


制 “1” 的 个 数 进 制 “1” 的 个 数 进 制 “1” 的 个 数 进 制 “1” 的 个 数 


3 3 
2 2 
2 1 
1 0 


2 
1 
1 
0 


(11) 统计 元 文件 $ Bitmap 中 1 的 个 数 ; 将 统计 结果 减 去 NTFS 文件 系统 最 后 一 个 簇 号 
( 即 坏 复 号 ) 所 占 位 图 值 ,得 到 NTFS 文件 系统 已 分 配 簇 数 之 和 。 

È: NTFS 文件 系统 已 使 用 空间 = 已 分 配 簇 数 之 和 XX 每 个 簇 的 扇 区 数 X512 字 节 / 扇 区 

6.26 设计 一 个 实验 ,通过 NTFS 文件 系统 的 元 文件 $ Bitmap、 每 个 簇 的 扁 区 数 以 及 元 
文件 $ BadClus 来 计算 NTFS 文件 系统 的 自由 空间 。 

提示 : 

(1) 一 (8) 与 6.25 题 (1) 一 (8) 相 同 。 

(9) 将 元 文件 $ Bitmap 中 *“E? 一 “0 的 个 数 填 和 人 到 表 6. 109 对 应 单元 格 中 。 

表 6.109 位 图 文件 $ Bitmap 中 “E”~“0” 的 数量 

位 图 值 ”数量 | 位 图 值 ”数量 | 位 图 值 ”数量 | 位 图 值 ”数量 | 位 图 值 ”数量 


E B 8 5 2 
D A T 4 
c 9 6 3 0 


(10) 十 六 进 制 数 中 “F? 一 “0 包含 二 进 制 位 0 的 个 数 , 见 表 6.110 所 列 。 
表 6.110 十 六 进 制 “F"~“0” 包 含 二 进 制 数 中 “0” 的 个 数 


十 六 ”对 应 二 进 制 中 | 十 六 ”对 应 二 进 制 中 | 十 六 对 应 二 进 制 中 ‖ 十 六 对 应 二 进 制 中 
进 制 “0” 的 个 数 进 制 “0” 的 个 数 进 制 “0” 的 个 数 进 制 “0” 的 个 数 


0 B 1 E 1 


2 
1 A 2 6 2 2 3 
1 9 2 5 2 1 3 
2 8 3 4 3 4 


G g mm 


(11) 统计 元 文件 $ Bitmap 中 0 的 个 数 ; 得 到 NTFS XF A H 382821. 

注 : NTFS 文件 系统 自由 空间 二 自由 簇 数 之 和 XX 每 个 簇 的 扇 区 数 X512 字 节 / 扇 区 

注意 : 最 后 一 个 禾 号 ( 即 坏 族 号 ) 所 占 字 节 空 间 

6.27 某 逻 辑 盘 的 文件 系统 为 NTFS, 将 光标 移动 到 0 号 扇 区 ,通过 元 文件 $MFT 或 
$ MFTMirr 的 特征 值 向 下 查找 元 文件 $ MFT 或 $MFTMirr, 在 连续 4 个 扁 区 中 找到 元 文件 


@ 大 话 数据 恢复 


$MFT 或 $MFTMirr 的 0 号 记录 和 1 号 记录 ,你 怎样 来 判断 这 2 条 记录 是 属于 元 文件 


$ MFT 还 是 属于 元 文件 $ MFTMirr? 
6.28 ” 简 述 文件 夹 记录 的 6 种 情况 。 


6.29 某 逻 辑 盘 的 文件 系统 为 NTFS, 元 文件 $MFT 或 者 $MFTMirr 的 0 号 记录 如 
图 6. 93 所 示 ,而 1 号 记录 如 图 6. 94 所 示 ( 注 : 素材 文件 名 为 zy6_29. vhd, 本 记录 中 无 用 数据 


已 被 删除 ) 。 请 回答 下 列 问题 ; 


Offset 
OA5AA800 46 49 4C 45 30 00 O; 


0A5AA810 01 00 01 00 38 00 01 00 


0A5AA820 00 00 00 00 00 00 00 00 


0A5AA830 OD 00 75 90 00 00 00 00 
0A5AA840 00 00 18 00 00 00 00 00 
0A5AA850 05 Al 60 3C E3 55 D2 01 
OA5AA860 05 Al 60 3C E3 55 D2 01 
OA5AA870 06 00 00 00 00 00 00 00 
OA5AA880 00 00 00 00 00 01 00 00 
0A5AA890 00 00 00 00 00 00 00 00 
OA5AA8AO 00 00 18 00 00 00 03 00 
OA5AA8BO 05 00 00 00 00 00 05 00 


OA5AA8CO 05 Al 60 3C E3 55 D2 01 
OA5AA8DO 05 Al 60 3C E3 55 D2 01 


.凡人 铅 ?. 以 < 铅 ? 
.有 凤 < 铅 ?.@.... 


0A5AA8E0 00 40 00 00 00 00 00 00 


OA5AA8FO 04 03 24 00 4D 00 46 00 


OA5AA900 80 00 00 00 48 00 00 00 
0A5AA910 00 00 00 00 00 00 00 00 
OA5AA920 40 00 00 00 00 00 00 00 
0A5AA930 00 00 40 01 00 00 00 00 


BO 00 00 00 50 00 00 00 
00 00 00 00 00 00 00 00 


40 00 00 00 00 00 00 00 


08 10 00 00 00 00 00 00 


08 10 00 00 00 00 00 00 |31 01 54 4B 01 21 03 ED 


FF FF FF FF 00 00 00 00 


3A 23 20 00 00 00 
58 01 00 00 00 04 
04 00 00 00 01 00 
10 00 00 00 60 00 

48 00 00 00 18 00 


05 Al 60 3C E3 55 D2 01 


05 Al 60 3C E3 55 D2 01 


00 00 00 00 00 00 00 00 


00 00 00 00 


30 00 00 00 
52 00 00 00 18 00 01 00 
05 Al 60 3C E3 55 D2 01 
05 Al 60 3C E3 55 D2 01 
00 10 00 00 00 00 00 00 
06 00 00 00 00 00 00 00 
54 00 4D 00 69 00 72 00 
80 00 00 00 48 00 00 00 
00 00 00 00 00 00 00 00 


40 00 00 00 00 00 00 00 


OA5AA940 
OA5AA950 01 00 40 00 00 00 05 00 
OA5AA960 03 00 00 00 00 00 00 00 
OA5AA970 00 20 00 00 00 00 00 00 
0A5AA980 

0A5AA990 

图 6. 93 

Offset 01234567 
OA5AACOO 46 49 4C 45 30 00 03 00 
OA5AAC10 01 00 01 00 38 00 01 00 
OA5AAC20 00 00 00 00 00 00 00 00 
OA5AAC30 OD 00 00 00 00 00 00 00 
OA5AAC40 00 00 18 00 00 00 00 00 
OA5AAC50 05 AL 60 3C E3 55 D2 01 
OA5AAC60 05 AL 60 3C E3 55 D2 01 
OA5AAC70 06 00 00 00 00 00 00 00 
OA5AAC80 00 00 00 00 00 01 00 00 
OA5AAC90 00 00 00 00 00 00 00 00 
OA5AACAO 00 00 18 00 00 00 02 00 
OA5AACBO 05 00 00 00 00 00 05 00 
OA5AACCO 05 AL 60 3C E3 55 D2 01 
OA5AACDO 05 AL 60 3C E3 55 D2 01 
OA5AACEO 00 10 00 00 00 00 00 00 
OA5AACFO 08 03 24 00 4D 00 46 00 
OA5AAD00 72 00 00 00 00 00 00 00 
OA5AADIO 01 00 40 00 00 00 01 00 
OA5AAD20 01 00 00 00 00 00 00 00 
OA5AAD30 00 10 00 00 00 00 00 00 
OA5AAD40 00 10 00 00 00 00 00 00 
OA5AAD50 FF FF FF FF 00 00 00 00 


00 10 00 00 00 00 00 00 
11 02 04 00 00 00 00 00 


元 文件 $ MFT 或 者 $ MFTMirr 的 0 号 记录 


` JW? JUB? 
. JK <$B?. U<? 


Re 
-ASSE 


. 凡 < 铅 ?. 凡 < 铅 ? 


图 6.94 元 文件 $MFT 或 者 $ MFTMirr 的 1 号 记录 
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(1) 如 果 这 两 条 记录 在 16 一 19 号 扇 区 查找 到 ,请 问 这 两 条 记录 是 属于 元 文件 $MFT 还 
是 属于 元 文件 $ MFTMirr? 为 什么 ? 

(2) 如 果 这 两 条 记录 在 339284 一 339287 号 扇 区 查找 到 ,请 问 这 两 条 记录 是 属于 元 文件 
$ MFT 还 是 属于 元 文件 $ MFTMirr? 为 什么 ? 

(3) 通过 元 文件 $ MFT 或 $MFTMirr 的 0 号 记录 80H 属性 ,计算 每 个 篮 的 扇 区 数 。 

(4) 通过 元 文件 $ MFT sk $ MFTMirr 的 1 号 记录 80H 属性 ,计算 每 个 簇 的 扇 区 数 。 

(5) 通过 元 文件 $ MFT 或 $ MFTMirr 的 0 号 记录 BOH 属性 ,计算 每 个 簇 的 扇 区 数 。 

(6) 请 根据 每 个 簇 的 扇 区 数 推算 出 元 文件 $ MFTMirr 的 记录 数 。 

(7) 通过 元 文件 $MFT 或 $MFTMirr 的 0 号 记录 80H 属性 ,请 将 元 文件 $MFT 的 
LCN 范围 (对 应 VCN 范围 )、 所 占 簇 数 、 结 束 记 录 号 以 及 开始 LCN 在 NTFS_DBR 中 的 存储 
形式 填 人 到 表 6. 111 对 应 单元 格 中 。 


表 6.111 元 文件 $MFT 和 $MFTMirr 簇 号 范围 等 值 表 


元 文件 LCN 范围 (VCN 范围 ) | 所 占 簇 数 | 记录 号 范围 | 开始 LCN 在 NTFS_DBR 中 的 存储 形式 


$MFT ~ (0~ ) o 号 
$ MFTMirr = 如 一 ) 0 一 号 


(8) 通过 元 文件 $ MFT 或 $MFTMirr 的 1 号 记录 80H 属性 ,请 将 元 文件 $ MFTMirr 
的 LCN 范围 (对 应 VCN 范围 )、 所 占 簇 数 ,结束 记录 号 以 及 开始 LCN 在 NTFS_DBR 中 的 存 
储 形式 填 入 到 表 6. 111 对 应 单元 格 中 。 

(9) 根据 每 个 簇 的 扇 区 数 , 分 别 写 出 元 文件 $MFT 每 条 记录 大 小 描述 和 每 个 索引 节点 大 
小 描述 在 NTFS_DBR 中 的 存储 形式 。 

(10) 通过 每 个 簇 的 扇 区 数 和 元 文件 $ MFT 或 $MFTMirr 的 1 号 记录 80H 属性 数据 运 
行列 表 , 计 算 NTFS 文件 系统 分 配给 元 文件 $ MFTMirr 的 空间 (单位 : 字 节 )。 

(11) 计算 NTFS 文件 系统 分 配给 元 文件 $ MFT 的 空间 ,元 文件 $ MFT 实际 占用 的 空间 
(单位 : 字 节 )( 注 : NTFS 文件 系统 分 配给 元 文件 $MFT 的 空间 和 元 文件 $MFT 实际 占用 的 
空间 为 元 文件 $ MFT 所 有 记录 所 占 空间 和 描述 记录 属性 所 占 空间 , 即 0 号 记录 80H 属性 和 
BOH 属性 所 描述 空间 之 和 )。 

(12) 0 号 记录 BOH 属性 值 前 192 字 节 的 值 如 图 6. 95 所 示 , 扇 区 偏 移 0X04.0X51.0X81 
和 0XA9 的 值 分 别 为 “8F”“FB”BF” 和 “F7”; 请 分 别 将 扇 区 偏 移 0X04、0X51、0X81 和 0XA9 
这 4 字 节 bit ~~bito 二 进 制 位 的 值 . 所 表示 的 记录 号 以 及 记录 使 用 情况 填 人 到 表 6. 112 一 
K 6.115 对 应 单元 格 中 。 

表 6.112 扇 区 偏 移 0X04 的 值 . 所 表示 的 记录 号 及 记录 使 用 情况 
地 址 0X0A5AA004 ( 扇 区 偏 移 0X04) 
十 六 进 制 值 8F 
二 进 制 位 Bit; Bits Bits Bit, Bit; Bit; Biti Bito 
二 进 制 值 
文件 记录 号 
记录 使 用 情况 


& 大 话 数 据 恢复 


表 6.113 ARAB 0X51 的 值 . 所 表示 的 记录 号 及 记录 使 用 情况 
地 hk 0X0A5AA051 ( 扇 区 偏 移 0X51) 
六 进 制 值 FB 
二 进 制 位 Bit; Bits Bits Bit, Bits Bitz Biti Bito 
二 进 制 值 
文件 记录 号 
记录 使 用 情况 
表 6.114 肩 区 偏 移 0X81 的 值 、 所 表示 的 记录 号 及 记录 使 用 情况 
地 hk 0X0A5AA081 ( 扇 区 偏 移 0X81) 
十 六 进 制 值 BF 
二 进 制 位 Bit; Bits Bit; Bit, Bit; Bit; Bit, Bit; 
二 进 制 值 
文件 记录 号 
记录 使 用 情况 
表 6.115 ARAB OXA 的 值 . 所 表示 的 记录 号 及 记录 使 用 情况 
地 址 0X0A5AA0A9 (À KE 0XA9) 
十 六 进 制 值 F7 
二 进 制 位 Bit; Bits Bits Bit, Bits Bit; Bit, Bito 
二 进 制 值 
文件 记录 号 
记录 使 用 情况 
Offset 01234567 89ABCDEF 
OA5AAO00 FF FF 00 FF BF FF FF FF FF FF FF FF FF FF FF FF 
OA5AAO10 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
OA5AAO20 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
OASAAO30 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
OA5AAO40 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
OA5AA050 FF [B] FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
OA5AAO60 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
OA5AAO70 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
OA5AA080 FF BH FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
OA5AA090 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
OASAAOAO FF FF FF FF FF FF FF FF FF [Ed FF FF FF FF FF FF 
OA5AAOBO FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 


图 6.95 元 文件 $ MFT 的 BOH 属性 前 192 字 节 值 
6.30 ”在 索引 节点 中 ,根据 索引 节点 是 否 有 效 , 可 以 将 索引 节点 分 为 节点 和 


节点 ; 对 于 


而 对 于 节 
在 索引 节点 中 ,根据 索引 节点 下 是 否 还 有 节点 ,可 以 将 索引 节点 分 为 


6.31 
和 节点 。 


节点 ,文件 夹 记录 的 BOH 属性 值 所 对 应 的 二 进 制 位 的 值 为 1; 
点 ,文件 夹 记录 的 BOH 属性 值 所 对 应 的 二 进 制 位 的 值 为 0。 


6.32 索引 节点 可 以 分 为 4 种 类 型 , 即 点 
节点 。 根 据 各 节点 字 节 偏 移 和 文件 夹 记录 BOH 属性 值 所 对 应 的 二 进 制 位 ,将 索引 节 


节点 法 


节点 


节点 和 
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点 类 型 填 和 人 表 6. 116 对 应 的 单元 格 中 。 
表 6.116 索引 节点 分 类 表 


索引 节点 字 节 偏 移 文件 夹 记录 BOH 属性 值 
类 型 ox24 的 什 所 对 应 二 进 制 位 的 值 索引 节点 结束 标志 (存储 形式 ) 
= — — 00 $ 10 00 00 00 02 00 00 00 
01 1 18 00 00 00 03 00 00 00+8 字 节 的 指针 
se E: 00 0 
01 0 
6.33 ”设计 一 个 实验 ,通过 实验 来 验证 在 叶 节 点 中 ,以 第 1 个 “10 00 00 00 02 00 00 00” 


(存储 形式 ) 为 叶 节点 的 结束 标志 , 即 在 叶 节 点 中 ,该 标志 以 后 存储 的 文件 名 为 无 效 文件 名 。 
6.34 EEH NTFS 文件 系统 的 过 程 中 ,用 户 普遍 认为 NTFS 对 索引 目录 的 管理 是 采用 
B 十 树 结构 ,而 只 有 少数 用 户 认为 NTFS 对 索引 目录 的 管理 是 采用 B 一 树 结构 ,你 对 此 有 何 


看 法 ? 
6.35 


Bir — 4 3230 , 8 pÜ 9230 3 50 HE EA 8 09 B K 22 15 38 3| r 5k K 338 RIR S| h 8 
编号 关系 ,并 将 实验 结果 填 人 到 表 6.117 对 应 单元 格 中 。 
表 6.117 每 个 簇 的 扇 区 数 、 索 引 节 点 大 小 描述 和 索引 节点 编号 关系 对 应 表 


索引 节点 


索引 节点 大 小 描述 在 


EAN 大 小 描述 NTFS_DBR 中 的 存储 形式 Faks 
1 Ja Q  — — s . Ç l. C Q 3 SS 2 k U sss 
2 —  # — 
4 — i — 
8 ik 
16 3 S x a x E E sss 
32 GA e€... r _ 2 C, x. 4 x, 
64 字 节 
128 3 Š S S < s 4 g <. 
6.36 在 一 些 有 关 NTFS 文件 系统 的 书籍 中 ,将 索引 节点 偏 移 0X10 一 0X17 处 的 值 标识 


为 VCN ,而 本 书 中 将 其 标识 为 索引 节点 编号 ,你 对 此 有 何 看 法 ? 

6.37 在 H 盘 Al00 文 件 夹 中 ,存储 了 100 个 文件 ,文件 名 为 a00. txt 一 a99. txt, A100 
文件 夹 记录 号 为 461,461 号 记录 内 容 如 图 6. 96 所 示 ( 注 : 本 记录 中 无 用 数据 已 被 删除 ) 。 请 
回答 下 列 问题 : 


Offset 

06373400 
06373410 
06373420 
06373430 
06373440 
06373450 
06373460 
06373470 
06373480 
06373490 


01234567 
46 49 4C 45 30 00 03 00 
01 00 01 00 38 00 03 00 


00 00 00 00 00 00 00 00 


02 00 00 00 00 00 
00 00 00 00 00 00 00 00 


8 9ABCDEF 
75 4D 12 00 00 00 00 00 FILEO. ..uM...... 
10 03 00 00 00 04 00 00 


06 00 00 00 CD 01 00 00 
10 00 00 00 60 00 00 00 
48 00 00 00 18 00 00 00 


48 CF 04 05 E4 61 DO 01 


E9 8A 12 05 E4 61 DO 01 


E9 8A 12 05 E4 61 DO 01 


E9 8A 12 05 E4 61 D0 01 


00 00 00 00 00 00 00 00 


00 00 00 00 00 00 00 00 


00 00 00 00 05 01 00 00 


00 00 00 00 00 00 00 00 


00 00 00 00 00 00 00 00 


30 00 00 00 68 00 00 00 


图 6.96 H 盘 461 号 记录 内 容 


& 大 话 数据 恢复 


063734A0 00 00 00 00 00 00 02 00 4A 00 00 00 18 00 01 00 ........ atas 
063734B0 05 00 00 00 00 00 05 00 48 CF 04 05 E4 61 DO 01 _........H9. $E? 
063734C0 48 CF 04 05 E4 61 DO 01 48 CF 04 05 E4 61 DO 01 H? Ë£?H?. $E? 
063734D0 48 CF 04 05 E4 61 DO 01 00 00 00 00 00 00 00 00 
063734E0 00 00 00 00 00 00 00 00 00 00 00 10 00 00 00 00 
063734F0 04 03 41 00 31 00 30 00 30 00 00 00 00 00 00 00 
06373500 90 00 00 00 90 01 00 00 00 04 18 00 00 00 05 00 
06373510 70 01 00 00 20 00 00 00 24 00 49 00 33 00 30 00 
06373520 30 00 00 00 01 00 00 00 00 10 00 00 01 00 0000 
06373530 10 00 00 00 60 01 00 00 60 01 00 00 01 00 00 00 
06373540 E2 01 00 00 00 00 01 00 68 00 50 00 01 00 00 00 
06373550 CD 01 00 00 00 00 01 00 88 DC 07 05 E4 61 DO 01 
06373560 00 D4 1F D7 61 4B CC 01 88 DC 07 05 E4 61 DO 01 
06373570 88 DC 07 05 E4 61 DO 01 00 00 00 00 00 00 00 00 
06373580 00 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 
06373590 07 03 61 00 32 00 30 00 2E 00 74 00 78 00 74 00 
063735A0 00 00 00 00 00 00 00 00 F7 01 00 00 00 00 01 00 
063735B0 68 00 50 00 01 00 00 00 CD 01 00 00 00 00 01 00 
063735C0 C8 E9 OA 05 E4 61 DO 01 00 D4 1F D7 61 4B CC 01 
063735D0 C8 E9 OA 05 E4 61 DO 01 C8 E9 OA 05 E4 61 DO 01 
063735E0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
063735F0 20 00 00 00 00 00 00 00 07 03 61 00 34 00 
06373600 2E 00 74 00 78 00 74 00 OZ 00 00 00 00 00 00 00 
06373610 OC 02 00 00 00 00 01 00 68 00 50 00 01 00 00 00 
06373620 CD 01 00 00 00 00 01 00 09 F7 0D 05 E4 61 DO 01 
06373630 00 D4 1F D7 61 4B CC 01 09 F7 OD 05 E4 61 DO 01 
06373640 09 F7 OD 05 F4 61 DO 01 00 00 00 00 00 00 00 00 .?. $?. 
06373650 00 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 
06373660 07 03 61 00 36 00 32 00 2E 00 74 00 78 00 74 00 
06373670 02 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
06373680 18 00 00 00 03 00 00 00 03 00 00 00 00 00 00 00 
06373690 AO 00 00 00 50 00 00 00 01 04 40 00 00 00 03 00 
063736A0 00 00 00 00 00 00 00 00 03 00 00 00 00 00 00 00 
063736B0 48 00 00 00 00 00 00 00 00 40 00 00 00 00 00 00 . 
063736C0 00 40 00 00 00 00 00 00 00 40 00 00 00 00 00 00 .@....... @..... 
063736D0 24 00 49 00 33 00 30 00 $. 1. 3. 0. !. ha. 6K? 
063736E0 BO 00 00 00 28 00 00 00 00 04 18 00 00 00 04 00 
063736F0 08 00 00 00 20 00 00 00 24 00 49 00 33 00 30 00 
06373700 [PH o0 00 00 00 00 00 00 FF FF FF FF 82 79 47 11 


图 6.96 ( 续 ) 


(1) 请 将 461 号 记录 90H 属性 中 存储 的 3 个 文件 的 文件 记录 号 、A100 文件 夹 记 录 号 、3 
个 文件 名 以 及 文件 名 后 面 的 4 个 指针 填 入 到 表 6. 118 对 应 单元 格 中 。 
表 6.118 461 号 记录 90H 属性 存储 的 文件 名 及 文件 名 后 的 指针 (十 六 进 制 ) 
文件 记录 号 al00 文件 夹 记录 号 文件 名 文件 名 后 的 指针 


(2) 写 出 461 号 记录 A0H 属性 中 的 数据 运行 列表 ,根据 AOH 属性 的 数据 运行 列表 ,将 
LCN 和 索引 节点 编号 填 人 到 表 6.119 对 应 单元 格 中 。 
(3) 根据 461 号 记录 90H 属性 中 存储 的 文件 名 ,推算 出 4 个 叶 节点 中 存储 的 有 效 文 件 名 
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范围 ,并 将 有 效 文件 名 范围 填 人 到 表 6. 119 对 应 单元 格 中 。 
表 6.119 A100 文件 夹 各 叶 节 点 存储 的 文件 名 


LCN 

VCN 3 2 1 0 

节点 编号 

4 个 叶 节点 存储 的 有 效 文件 名 范围 党 = = ë 

BOH 属性 值 低 4 位 Bit; Bit; Biti Bito 

BOH 属性 值 低 4 位 二 进 制 值 1 š Í 1 

各 节点 状态 口 有 效 口 无 效 ODA% 口 无 效 OA% 口 无 效 DA% 口 无 效 


(4) 461 号 记录 BOH 属性 值 为 "0F”, 请 在 该 值 的 低 4 位 所 表示 的 节点 状态 对 应 单元 格 
“有 效 ” 或 者 “无 效 ” 前 的 “ 口 * 中 打 “V”。 

(5) 请 根据 461 号 记录 90H 属性 存储 的 文件 名 和 4 个 叶 节 点 存储 的 有 效 文件 名 范围 , 画 
出 A100 文件 夹 的 B 一 树 结构 图 ; 并 对 该 B 一 树 结构 图 作 一 些 说 明 。 

6.38 在 题 6.37 中 ,假设 NTFS 文件 系统 对 索引 目录 的 管理 是 采用 B 十 树 结构 ,根据 你 
对 B 十 树 结构 的 理解 和 认识 。 请 回答 下 列 问题 : 

(1) 假设 NTFS 文件 系统 中 将 B 十 树 的 指针 放 在 非 叶 节 点 中 的 每 个 文件 名 之 后 ,请 将 461 
号 记录 90H 属性 中 可 能 存储 的 文件 记录 号 .A100 文件 夹 记录 号 文件 名 及 文件 名 之 后 的 指针 
填 入 到 表 6.120 对 应 单元 格 中 。 


表 6.120 90H 属性 可 能 存储 的 文件 名 及 文件 名 后 的 指针 (十 六 进 制 ) 
al00 文件 夹 记录 号 文件 名 文件 名 后 的 指针 


= 
* 
Ri 
x 
d 


(2) 根据 461 号 记录 90H 属性 中 存储 的 文件 名 推算 出 4 个 叶 节 点 中 可 能 存储 的 有 效 文件 
目 , 并 将 可 能 存储 的 有 效 文件 名 范围 填 入 到 表 6. 121 对 应 单元 格 中 。 

(3) 假设 461 号 记录 BOH 属性 值 为 “0F”, 请 将 该 值 低 4 位 所 表示 的 4 个 叶 节 点 状态 填 人 
到 表 6.121 对 应 单元 格 中 。 


名 范 


表 6.121 A100 文件 夹 各 叶 节点 可 能 存储 的 有 效 文件 名 
LCN 0X616B 0X616A 0X6169 0X6168 


VCN 3 2 1 0 

叶 节点 编号 3 2 1 0 

各 叶 节 点 可 能 存储 的 有 效 文件 名 范围 ~ ~ ~ ~ 
BOH 属性 值 低 4 位 Bit; Bit; Bit, Bit; 
BOH 属性 值 低 4 位 二 进 制 值 1 1 1 

各 叶 节点 状态 


(4) 画 出 A100 文件 夹 可 能 的 B 十 树 结构 图 ,并 对 A100 文件 夹 的 B 十 树 结构 作 一 些 简要 


@ 大 话 数据 恢复 


说 明 。 

6.39 在 日 盘 的 a300 文 件 夹 中 ,存储 了 300 个 文件 ,文件 名 分 别 为 a00. txt 一 a99. txt, 
b00. txt 一 b99. txt、c00. txt 一 c99. txt。a300 文件 夹 记录 号 为 562,562 号 记录 内 容 如 图 6. 97 
所 示 ,7 号 和 10 号 索引 节点 所 存储 的 内 容 分 别 如 图 6. 98 和 图 6. 99 所 示 ( 注 : 在 图 6. 97 一 
图 6. 99 中 ,无 用 数据 已 被 删除 ) 。 请 回答 下 列 问题 ， 


Offset 
0638C800 
0638C810 
0638C820 00 00 00 00 00 00 00 00 07 00 00 00 32 02 00 00 
0638C830 02 00 31 00 00 00 00 00 10 00 00 00 60 00 00 00 
0638C840 00 00 00 00 00 00 00 00 48 00 00 00 18 00 00 00 .. : 
0638C850 E9 8A 12 05 E4 61 DO 01 CD BD 3B 05 E4 61 DO 01 W]. .24Ë;. 
0638C860 CD BD 3B 05 E4 61 DO 01 CD BD 3B 05 E4 61 DO 01 徒 ;. 狂 ? 徒 ;. 8E? 
0638C870 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
0638C880 00 00 00 00 05 01 00 00 00 00 00 00 00 00 00 00 
0638C890 00 00 00 00 00 00 00 00 30 00 00 00 68 00 00 00 
0638C8A0 00 00 00 00 00 00 02 00 4A 00 00 00 18 00 01 00 
0638C8B0 05 00 00 00 00 00 05 00 E9 8A 12 05 E4 61 DO 01 
0638C8C0 E9 8A 12 05 E4 61 DO 01 E9 8A 12 05 E4 61 DO 01 
0638C8D0 E9 8A 12 05 E4 61 DO 01 00 00 00 00 00 00 00 00 
0638C8E0 00 00 00 00 00 00 00 00 00 00 00 10 00 00 00 00 
0638C8F0 04 03 61 00 33 00 30 00 30 00 00 00 00 00 00 00 
0638C900 90 00 00 00 58 00 00 00 00 04 18 00 00 00 06 00 
0638C910 38 00 00 00 20 00 00 00 24 00 49 00 33 00 30 00 
0638C920 30 00 00 00 01 00 00 00 00 10 00 00 01 00 00 00 
0638C930 10 00 00 00 28 00 00 00 28 00 00 00 01 00 00 00 
0638C940 00 00 00 00 00 00 00 00 18 00 00 00 03 00 00 
o638c950 [7 00 00 00 00 00 00 00) AO 00 00 00 50 00 00 00 
0638C960 01 04 40 00 00 00 03 00 00 00 00 00 00 00 00 00 
0638C970 OF 00 00 00 00 00 00 00 48 00 00 00 00 00 00 00 
0638C980 00 00 01 00 00 00 00 00 00 00 01 00 00 00 00 00 
0638C990 00 00 01 00 00 00 00 00 24 00 49 00 33 00 30 00 
0638C9A0 BO 00 00 00 28 00 00 00 
0638C9B0 00 04 18 00 00 00 04 00 08 00 00 00 20 00 00 00 
0638C9C0 24 00 49 00 33 00 30 00 FF 7F 00 00 00000000 $. 1.3.0. ....... 
0638C9D0 FF FF FF FF 82 79 47 11 6A A5 18 05 E4 61 DO 01 # G. j?. 8? 


6.97 H 盘 562 号 记录 


Offset 01234567 8 9ABCDEF 
06173000 49 4E 44 58 28 00 09 00 72 89 13 00 00 00 00 00 
06173010 07 00 00 00 00 00 00 00 28 00 00 00 88 05 00 00 
06173020 E8 OF 00 00 01 00 00 00 02 00 DO 01 01 00 00 00 
06173030 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
06173040 47 02 00 00 00 00 01 00 68 00 50 00 01 00 00 00 
06173050 32 02 00 00 00 00 01 00 29 98 15 05 F4 61 DO 01 2....... )?. 8E? 
06173060 00 D4 IF D7 61 4B CC 01 29 98 15 05 E4 61 DO 01 à$ K?) ?. #t? 

06173070 29 98 15 05 E4 61 DO 01 00 00 00 00 00 00 00 00 _)?.##?... 
06173080 00 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 
06173090 07 03 61 00 32 00 30 00 2E 00 74 00 78 00 74 00 
061730A0 5C 02 00 00 00 00 01 00 ........ Na a 
061730B0 68 00 50 00 01 00 00 00 32 02 00 00 00 00 0100 h.P.....2....... 
061730C0 6A A5 18 05 E4 61 DO 01 00 D4 1F D7 61 4B CC 01 j?. $% 
061730D0 6A A5 18 05 E4 61 DO 01 6A A5 18 05 E4 61 DO 01 
061730E0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
061730F0 20 00 00 00 00 00 00 00 07 03 61 00 34 00 31 00 


图 6.98 7 号 索引 节点 存储 的 文件 名 及 指针 


第 6 章 NTFS 文 件 系统 分 


06173100 2E 00 74 00 78 00 74 00 E A a ASE, 
06173110 71 02 00 00 00 00 01 00 68 00 50 00 01 00 00 OO__q....... HE 
06173120 32 02 00 00 00 00 01 00 AA B2 1B 05 E4 61 DO 01 2....... 拟 .. 2? 
06173130 00 D4 1F D7 61 4B CC 01 AA B2 1B 05 E4 61 DO 01 988 K? . 8? 

06173140 AA B2 1B 05 E4 61 DO 01 00 00 00 00 00 00 00 00 $i. . #£?. 
06173150 00 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 
06173160 07 03 61 00 36 00 32 00 2E 00 74 00 78 00 74 00 
06173170 86 02 00 00 00 00 01 00 
06173180 68 00 50 00 01 00 00 00 32 02 00 00 00 00 01 00 h.P..... a 
06173190 EA BF 1E 05 E4 61 DO 01 00 D4 1F D7 61 4B CC 01 Br..#6?.?38 K? 

061731A0 EA BF 1E 05 E4 61 DO 01 EA BF 1E 05 E4 61 DO 01 HF.. #E?WT. . $E? 

061731B0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
061731C0 20 00 00 00 00 00 00 00 07 03 61 00 38 00 33 00 
061731D0 2E 00 74 00 78 00 74 00 
061731E0 9B 02 00 00 00 00 01 00 68 00 50 00 01 00 00 00 
061731F0 32 02 00 00 00 00 01 00 2A CD 21 05 E4 61 02 00 2.......*?. $.. 
06173200 00 D4 IF D7 61 4B CC 01 2A CD 21 05 E4 61 DO 01 _.. gË K?*?. 4E? 

06173210 2A CD 21 05 E4 61 DO 01 00 00 00 00 00 00 00 00  #*?. $E?. 
06173220 00 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 
06173230 07 03 62 00 30 00 34 00 2E 00 74 00 78 00 74 00 i 
06173240 BO 02 00 00 00 00 01 00 ........?...... 
06173250 68 00 50 00 01 00 00 00 32 02 00 00 00 00 01 00 
06173260 6B DA 24 05 E4 61 DO 01 00 D4 1F D7 61 4B CC 01 
06173270 6B DA 24 05 E4 61 DO 01 6B DA 24 05 E4 61 DO 01 
06173280 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
06173290 20 00 00 00 00 00 00 00 07 03 62 00 32 00 35 00 
061732A0 2E 00 74 00 78 00 74 00 
061732B0 C5 02 00 00 00 00 01 00 68 00 50 00 01 00 00 00  ?Ç 7 
061732C0 32 02 00 00 00 00 01 00 0B 61 26 05 E4 61 DO 01 2 „t? 
061732D0 00 83 FC IC EE 63 CE 01 AB E7 27 05 E4 61 DO 01 _#. mng . E? 
061732E0 0B 61 26 05 E4 61 DO 01 00 00 00 00 00 00 00 00 .ak.$É?........ 
061732F0 00 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 ........ < 
06173300 07 03 62 00 34 00 36 00 2E 00 74 00 78 00 74 00 ..b.4.6...t.x.t. 
06173310 DA 02 00 00 00 00 01 00 
06173320 68 00 50 00 01 00 00 00 32 02 00 00 00 00 01 00 h.P.....2....... 
06173330 4B 6E 29 05 E4 61 DO 01 00 D4 1F D7 61 4B CC 01 Kn). $É?. 24 K? 

06173340 4B 6E 29 05 E4 61 DO 01 4B 6E 29 05 E4 61 DO 01 Kn). $É?Kn). Ë? 

06173350 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
06173360 20 00 00 00 00 00 00 00 07 03 62 00 36 00 37 00 
06173370 2E 00 74 00 78 00 74 00 
06173380 EF 02 00 00 00 00 01 00 68 00 50 00 01 00 00 00 ?. A 
06173390 32 02 00 00 00 00 01 00 8B 7B 2C 05 E4 61 DO 01 2....... 1, . BE? 
061733A0 00 D4 1F D7 61 4B CC 01 8B 7B 2C 05 E4 61 DO 01 . 938 K? . BE? 

061733B0 8B 7B 2C 05 E4 61 DO 01 00 00 00 00 00 00 00 00 2.. 
061733C0 00 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 
061733D0 07 03 62 00 38 00 38 00 2E 00 74 00 78 00 74 00 ..b. ERE 
04 03 00 00 00 00 01 00 _.Ü.............. 
061733F0 68 00 50 00 01 00 00 00 32 02 00 00 00 00 02 00 h.P.....2....... 
06173400 CC 88 2F 05 E4 61 DO 01 00 D4 1F D7 61 4B CC 01 #5/.86?.?3Ë K? 

06173410 CC 88 2F 05 E4 61 DO 01 CC 88 2F 05 E4 61 DO 01 #5/. #E?R5/. BE? 

06173420 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ai 

06173430 20 00 00 00 00 00 00 00 07 03 63 00 30 00 39 00 


图 6.98 (#) 


PUAS 


@ 大 话 数据 恢复 


06173440 2E 00 74 00 78 00 74 00 ae R PTE 
06173450 19 03 00 00 00 00 01 00 68 00 50 00 01 00 00 00 TENE 
06173460 32 02 00 00 00 00 01 00 0C 96 32 05 E4 61 DO 01 2........?. $E? 
06173470 00 D4 1F D7 61 4B CC 01 OC 96 32 05 E4 61 DO 01 .?È} K?. ?. 8? 
06173480 OC 96 32 05 E4 61 DO 01 00 00 00 00 00 00 00 00 
06173490 00 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 
061734A0 07 03 63 00 33 00 30 00 2E 00 74 00 78 00 74 00 
06173480 2E 03 00 00 00 00 01 00 
061734C0 68 00 50 00 01 00 00 00 32 02 00 00 00 00 01 00 h.P..... 
061734D0 4C A3 35 05 E4 61 DO 01 00 D4 1F D7 61 4B CC 01 L?. BB K? 
061734E0 4C A3 35 05 E4 61 DO 01 4C A3 35 05 E4 61 DO 01 L?. $E?L?. $E? 
061734F0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
06173500 20 00 00 00 00 00 00 00 07 03 63 00 35 00 31 00 
06173510 2E 00 74 00 78 00 74 00 
06173520 43 03 00 00 00 00 01 00 68 00 50 00 01 00 0000 C. < 
06173530 32 02 00 00 00 00 01 00 EC 29 37 05 E4 61 DO 01 2.......27. $E? 
06173540 00 D4 IF D7 61 4B CC 01 EC 29 37 05 E4 61 DO 01  _. %šË K??7. 88? 
06173550 EC 29 37 05 E4 61 DO 01 00 00 00 00 00 00 00 00 27. ?........ 
06173560 00 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 ........ 
06173570 07 03 63 00 37 00 32 00 2E 00 74 00 78 00 74 00 _..c.7.2; 
00 00 00 00 00 00 00 00 


t.x. t. 


06173590 18 00 00 00 03 00 00 00 
图 6.98 ( 续 ) 

Offset D 
06176000 00 
06176010 00 07 
06176020 00 0 00 74 00 
06176030 01 0 00 00 00 
06176040 00 00 0 00 00 00 
06176050 00 00 C 05 F4 61 

61 4B C 05 E4 61 

E4 61 0 00 00 00 
06176080 00 00 0 00 00 00 
06176090 38 00 4 00 78 00 7 
061760A0 00 00 0 00 00 00 0 Pressa 
061760B0 32 02 00 00 00 00 01 00 8B 7B 2C 05 E4 61 DO 01 2....... 1, . 3E? 
061760C0 00 D4 IF D7 61 4B CC 01 8B 7B 2C 05 E4 61 DO 01. 9AM K?4, . €? 
061760D0 8B 7B 2C 05 E4 61 DO 01 00 00 00 00 00 00 00 00  #,.$E?........ 
061760E0 00 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 
061760F0 07 03 62 00 39 00 30 00 2E 00 74 00 78 00 74 00 
06176100 2 00 00 00 00 00 

00 00 05 F4 61 

61 05 F4 61 

E4 00 00 00 
06176140 00 00 20 00 00 00 00 00 


06176150 07 03 62 00 39 00 31 00 2E 00 74 00 78 
06176160 F3 02 00 00 00 00 01 00 60 00 50 00 00 00 00 00 
06176170 32 02 00 00 00 00 01 00 2C 02 2E 05 E4 61 DO 01 
06176180 00 D4 1F D7 61 4B CC 01 2C 02 2E 05 E4 61 DO 01 
06176190 2C 02 2E 05 E4 61 DO 01 00 00 00 00 00 00 00 00 
061761A0 00 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 
061761B0 07 03 62 00 39 00 32 00 2E 00 74 00 78 00 74 00 
061761C0 F4 02 00 00 00 00 01 00 60 00 50 00 00 00 00 00 
061761D0 32 02 00 00 00 00 01 00 2C 02 2E 05 E4 61 DO 01 "A 
061761E0 00 D4 1F D7 61 4B CC 01 2C 02 2E 05 F4 61 DO 01 .? 诸 K?,. 

061761F0 2C 02 2E 05 E4 61 DO 01 00 00 00 00 00 00 02 00 _....#82........ 


图 6.99 10 号 索引 节点 存储 的 文件 名 


s 
~ 
IN 
= 
= 


第 6 章 NTFS 文 件 系 统 È 


06176200 00 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 
06176210 07 03 62 00 39 00 33 00 2E 00 74 00 78 00 74 00 
06176220 F5 02 00 00 00 00 01 00 60 00 50 00 00 00 00 00 
06176230 32 02 00 00 00 00 01 00 2C 02 2E 05 E4 61 DO 01 
06176240 00 D4 1F D7 61 4B CC 01 2C 02 2E 05 E4 61 DO 01 
06176250 2C 02 2E 05 E4 61 DO 01 00 00 00 00 00 00 00 00 
06176260 00 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 
06176270 07 03 62 00 39 00 34 00 2E 00 74 00 78 00 74 00 
06176280 F6 02 00 00 00 00 01 00 60 00 50 00 00 00 00 00 
06176290 32 02 00 00 00 00 01 00 2C 02 2E 05 E4 61 DO 01 
061762A0 00 D4 IF D7 61 4B CC 01 2C 02 2E 05 E4 61 DO 01 
061762B0 _2C 02 2E 05 E4 61 DO 01 00 00 00 00 00 00 00 00 
061762C0 00 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 
061762D0 07 03 62 00 39 00 35 00 2E 00 74 00 78 00 74 00 
061762E0 F7 02 00 00 00 00 01 00 60 00 50 00 00 00 00 00 
061762F0 32 02 00 00 00 00 01 00 2C 02 2E 05 E4 61 DO 01 
06176300 00 D4 1F D7 61 4B CC 01 2C 02 2E 05 E4 61 DO 01 
06176310 2C 02 2E 05 E4 61 DO 01 00 00 00 00 00 00 00 00 
06176320 00 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 
06176330 07 03 62 00 39 00 36 00 2E 00 74 00 78 00 74 00 
06176340 F8 02 00 00 00 00 01 00 60 00 50 00 00 00 00 00 
06176350 _32 02 00 00 00 00 01 00 2C 02 2E 05 E4 61 DO 01 


5 

E 0 00 
06176380 0 00 
06176390 2 0 00 
061763A0 0 00 
061763B0 5 61 
061763C0 F 5 61 
061763D0 E 0 00 
061763E0 00 0 00 
061763F0 2 00 0 00 
06176400 00 00 00 
06176410 00 E 05 61 

ia 4B 2E 05 61 
06176430 E 61 00 00 00 00 
06176440 00 00 00 00 00 00 00 00 20 00 00 00 00 00 
06176450 07 03 62 00 39 00 39 00 2E 00 74 00 78 00 
06176460 FB 02 00 00 00 00 01 00 60 00 50 00 00 00 
06176470 32 02 00 00 00 00 01 00 2C 02 2E 05 E4 61 
06176480 00 D4 1F D7 61 4B CC 01 2C 02 2E 05 E4 61 
06176490 2C 02 2E 05 E4 61 DO 01 00 00 00 00 00 00 
061764A0 00 00 00 00 00 00 00 00 20 00 00 00 00 00 
061764B0 07 03 63 00 30 00 30 00 2E 00 74 00 78 00 
061764C0 FC 02 00 00 00 00 01 00 60 00 50 00 00 00 
061764D0 32 02 00 00 00 00 01 00 2C 02 2E 05 E4 61 
061764E0 00 B3 E9 09 EE 63 CE 01 2C 02 2E 05 E4 61 
061764F0 2C 02 2E 05 E4 61 DO 01 00 00 00 00 00 00 
06176500 00 00 00 00 00 00 00 00 20 00 00 00 00 00 
06176510 07 03 63 00 30 00 31 00 2E 00 74 00 78 00 
06176520 FD 02 00 00 00 00 01 00 60 00 50 00 00 00 
06176530 32 02 00 00 00 00 01 00 2C 02 2E 05 E4 61 
06176540 00 D4 1F D7 61 4B CC 01 2C 02 2E 05 E4 61 DO 01 
06176550 2C 02 2E 05 E4 61 DO 01 00 00 00 00 00 00 00 00 
06176560 00 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 
06176570 07 03 63 00 30 00 32 00 2E 00 74 00 78 00 74 00 
06176580 _ FE 02 00 00 00 00 01 00 60 00 50 00 00 00 00 00 
06176590 32 02 00 00 00 00 01 00 2C 02 2E 05 E4 61 DO 01 
061765A0 00 D4 1F D7 61 4B CC 01 CC 88 2F 05 E4 61 DO 01 .? 让 K? 世 /. g£? 
061765B0 _2C 02 2E 05 E4 61 DO 01 00 00 00 00 00 00 00 00__,.. . #?.. z 
061765C0 00 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 
061765D0 _ 07 03 63 00 30 00 33 00 2E 00 74 00 78 00 74 00 c03 tt 


图 6.99 ( 续 ) 


& 大 话 数据 恢复 


061765E0 FF 02 00 00 00 00 01 00 60 00 50 00 00 00 0000 . Pisce: 
061765F0 32 02 00 00 00 00 01 00 CC 88 2F 05 E4 61 02 00 . . 项/. é.. 
06176600 00 D4 IF D7 61 4B CC 01 CC 88 2F 05 E4 61 DO 01 

06176610 CC 88 2F 05 E4 61 DO 01 00 00 00 00 00 00 00 00 

06176620 00 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 

06176630 07 03 63 00 30 00 34 00 2E 00 74 00 78 00 74 00 

06176640 00 03 00 00 00 00 01 00 60 00 50 00 00 00 00 00 

06176650 32 02 00 00 00 00 01 00 CC 88 2F 05 E4 61 DO 01 

06176660 00 D4 IF D7 61 4B CC 01 CC 88 2F 05 F4 61 DO 01 . 73 K9H8/. BE? 
06176670 CC 88 2F 05 E4 61 DO 01 00 00 00 00 00 00 00 00  #5/. #?.. 
06176680 00 00 00 00 00 00 00 00 20 00 00 00 00 00 0000 .. 7 
06176690 07 03 63 00 30 00 35 00 2E 00 74 00 78 00 74 00 

061766A0 01 03 00 00 00 00 01 00 60 00 50 00 00 00 00 00 

061766B0 32 02 00 00 00 00 01 00 CC 88 2F 05 E4 61 DO 01 “88 /. ge? 
061766C0 00 D4 1F D7 61 4B CC 01 CC 88 2F 05 E4 61 DO 01 . 238 K?HN/. SE? 
061766D0 CC 88 2F 05 E4 61 DO 01 00 00 00 00 00 00 00 00 #8⁄/.##?.. 
061766E0 00 00 00 00 00 00 00 00 20 00 00 00 00 00 

061766F0 07 03 63 00 30 00 36 00 2E 00 74 00 78 00 

06176700 02 03 00 00 00 00 01 00 60 00 50 00 00 00 


2F E4 61 

06176740 00 00 00 00 
06176750 07 03 63 00 30 00 37 00 2E 00 74 00 78 
06176760 03 03 00 00 00 00 01 00 60 00 50 00 00 i 
06176770 32 02 00 00 00 00 01 00 CC 88 2F 05 E4 DO 01 2..... - B5, ge? 
06176780 00 D4 1F D7 61 4B CC 01 CC 88 2F 05 E4 61 DO 01 . 938 K? 戎 /. BE? 
06176790 CC 88 2F 05 E4 61 DO 01 00 00 00 00 00 00 00 00 B8⁄/. @#?.... 
061767A0 00 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 
061767B0 07 03 63 00 30 00 38 00 2E 00 74 00 78 00 74 00 
061767C0 0 00 00 00 。 
061767D0 _ 32 02 00 00 00 00 01 00 CC 88 2F 05 E4 61 DO 01 2 . HE? 
061767E0 00 D4 1F D7 61 4B CC 01 CC 88 2F 05 E4 61 DO 01  _.%Ë K2. r 72 
061767F0 CC 88 2F 05 E4 61 DO 01 00 00 00 00 02 . 6. . 
06176800 00 00 00 00 00 00 00 00 20 00 00 00 
06176810 07 03 63 00 30 00 39 00 2E 00 74 00 
06176820 05 03 00 00 00 00 01 00 60 00 50 00 Ol 。 
06176830 32 02 00 00 00 00 01 00 CC 88 2F 05 E4 61 DO 01 2. 
06176840 00 D4 1F D7 61 4B CC 01 CC 88 2F 05 E4 61 DO 01 .9?38K?88/. E? 
06176850 CC 88 2F 05 E4 61 DO 01 00 00 00 00 00 00 00 00 B8/. #E?.... 
06176860 00 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 
06176870 07 03 63 00 31 00 30 00 2E 00 74 00 78 00 74 00 
06176880 06 03 00 00 00 00 01 00 60 00 50 00 00 00 00 00 
06176890 32 02 00 00 00 00 01 00 CC 88 2F 05 E4 61 DO 01 
061768A0 00 D4 IF D7 61 4B CC 01 CC 88 2F 05 E4 61 DO 01 
061768B0 CC 88 2F 05 E4 61 DO 01 00 00 00 00 00 00 00 00 
061768C0 00 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 
061768D0 _ 07 03 63 00 31 00 31 00 2E 00 74 00 78 00 74 00 
061768E0 07 03 00 00 00 00 01 00 60 00 50 00 00 00 00 00 
061768F0 32 02 00 00 00 00 01 00 CC 88 2F 05 E4 61 DO 01 2....... ü 狂 ? 
06176900 00 D4 1F D7 61 4B CC 01 CC 88 2F 05 E4 61 DO 01 .?38K9288/. ME? 
06176910 CC 88 2F 05 E4 61 DO 01 00 00 00 00 00 00 00 00 B8⁄/.@#?.... 
06176920 00 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 
06176930 07 03 63 00 31 00 32 00 2E 00 74 00 78 00 74 00 
06176940 08 03 00 00 00 00 01 00 60 00 50 00 00 00 00 00 
06176950 _32 02 00 00 00 00 01 00 CC 88 2F 05 E4 61 DO 01 
06176960 00 D4 IF D7 61 4B CC 01 CC 88 2F 05 E4 61 DO 
06176970 CC 88 2F 05 E4 61 DO 01 00 00 
06176980 00 00 00 00 00 00 00 00 20 00 
06176990 07 03 63 00 31 00 33 00 2E 00 
061769A0 09 03 00 00 00 00 01 00 60 00 50 00 00 00 00 00 
061769B0 32 02 00 00 00 00 01 00 6C OF 31 05 E4 61 DO 01 

图 6.99 ( 续 ) 


061769C0 
061769D0 
061769E0 
061769F0 


06176A00 


00 D4 1F D7 61 4B CC 01 
6C OF 31 05 E4 61 DO 01 
00 00 00 00 00 00 00 00 
07 03 63 00 31 00 34 00 


OA 03 00 00 00 00 01 00 


第 6 章 NTFS 文 件 系统 分 


6C OF 31 05 E4 61 DO 01 “.? 让 K?1.1. 8? 
00 00 00 00 00 00 
20 00 00 00 00 00 
2E 00 74 00 78 00 


60 00 50 00 00 00 


06176A10 


32 02 00 00 00 00 01 00 


6C OF 31 05 E4 61 DO 01 T IL? 


06176A20 


00 D4 1F D7 61 4B CC 01 


6C OF 31 05 E4 61 DO 01 ET 1. E? 


06176A30 


6C OF 31 05 E4 61 DO 01 


00 00 00 00 00 00 00 00 1.1. #?.. 


06176A40 


00 00 00 00 00 00 00 00 


20 00 00 00 00 00 


06176A50 


07 03 63 00 31 00 35 00 


2E 00 74 00 78 00 


06176A60 
06176A70 
06176A80 
06176A90 
06176AA0 
06176AB0 
06176AC0 


0B 03 00 00 00 00 01 00 
32 02 00 00 00 00 01 00 
00 D4 1F D7 61 4B CC 01 
6C OF 31 05 E4 61 DO 01 
00 00 00 00 00 00 00 00 
07 03 63 00 31 00 36 00 


60 00 50 00 00 00 
6C OF 31 05 E4 61 DO 01 
6C OF 31 05 E4 61 DO 01 
00 00 00 00 00 00 00 00 
20 00 00 00 00 00 00 00 
2E 00 74 00 78 00 74 00 
60 00 50 00 00 00 00 00 


1. 1. 88? 


06176AD0 


6C OF 31 05 E4 61 DO 01 


06176AE0 


00 D4 1F D7 61 4B CC 01 


6C OF 31 05 E4 61 DO 01 


06176AF0 


6C OF 31 05 E4 61 DO 01 


06176800 


06176B10 


07 03 63 00 31 00 37 00 


2E 00 74 00 78 00 74 00 


06176B20 
06176B30 
06176B40 
06176B50 
06176B60 
06176B70 
06176B80 
06176B90 
06176BA0 
06176BB0 
06176BC0 
06176BD0 
06176BE0 
06176BF0 
06176C00 
06176C10 
06176C20 
06176C30 
06176C40 
06176C50 
06176C60 
06176C70 
06176C80 
06176C90 
06176CA0 
06176CB0 
06176CC0 
06176CD0 
06176CE0 
06176CF0 
06176D00 


0D 03 00 00 00 00 01 00 
32 02 00 00 00 00 01 00 
00 D4 1F D7 61 4B CC 01 
6C OF 31 05 E4 61 DO 01 
00 00 00 00 00 00 00 00 
07 03 63 00 31 00 38 00 
OE 03 00 00 00 00 01 00 


32 02 00 00 00 00 01 00 6C OF 31 05 E4 61 DO 01 
00 D4 1F D7 61 4B CC 01 6C OF 31 05 E4 61 DO 01 


6C OF 31 05 E4 61 DO 01 
00 00 00 00 00 00 00 00 
07 03 63 00 31 00 39 00 
OF 03 00 00 00 00 01 00 
32 02 00 00 00 00 01 00 
00 D4 1F D7 61 4B CC 01 
6C OF 31 05 E4 61 DO 01 
00 00 00 00 00 00 00 00 
07 03 63 00 32 00 30 00 
10 03 00 00 00 00 01 00 
32 02 00 00 00 00 01 00 
00 D4 1F D7 61 4B CC 01 
6C OF 31 05 E4 61 DO 01 
00 00 00 00 00 00 00 00 
07 03 63 00 32 00 31 00 
11 03 00 00 00 00 01 00 
32 02 00 00 00 00 01 00 
00 D4 1F D7 61 4B CC 01 
6C OF 31 05 E4 61 DO 01 
00 00 00 00 00 00 00 00 
07 03 63 00 32 00 32 00 
12 03 00 00 00 00 01 00 


60 00 50 00 00 00 00 00 
6C OF 31 05 E4 61 DO 01 
6C OF 31 05 E4 61 DO 01 
00 00 00 00 00 00 00 00 
20 00 00 00 00 00 00 00 
2E 00 74 00 78 00 74 00 
60 00 50 00 00 00 00 00 


00 00 00 00 00 00 00 00 
20 00 00 00 00 00 00 00 
2E 00 74 00 78 00 74 00 
60 00 50 00 00 00 00 00 . . 
6C OF 31 05 E4 61 02 00 2. LLZ. 
6C OF 31 05 E4 61 DO 01 PBA KOL. 1. B£? 
00 00 00 00 00 00 00 00 1. 1. $£?.. 
20 00 00 00 00 00 00 00 ........ 
2E 00 74 00 78 00 74 00 

60 00 50 00 00 00 00 00 . 
6C OF 31 05 E4 61 DO 01 2 
6C OF 31 05 E4 61 DO 01 -PA KOL. 1. Be 
00 00 00 00 00 00 00 00 
20 00 00 00 00 
2E 00 74 00 78 
60 00 50 00 00 
6C OF 31 05 E4 61 DO 01 
6C OF 31 05 E4 61 DO 01 
00 00 00 00 00 00 00 00 
20 00 00 00 00 00 00 00 
2E 00 74 00 78 00 74 00 
60 00 50 00 00 00 00 00 


~ 


06176D10 


32 02 00 00 00 00 01 00 


6C OF 31 05 E4 61 DO 01 


06176D20 


00 D4 IF D7 61 4B CC 01 


6C OF 31 05 E4 61 DO 01 - 988 K91. T e? 


06176D30 


6C OF 31 05 E4 61 DO 01 


00 00 00 00 00 00 00 00 1.1.89........ 


06176D40 


00 00 00 00 00 00 00 00 


20 00:00:00 00 00 00.00... ed 


06176D50 


07 03 63 00 32 00 33 00 


2E 00 74 00 78 00 


06176D60 


13 03 00 00 00 00 01 00 


60 00 50 00 00 00 


图 6.99 ( 续 ) 


@ 大 话 数据 恢复 


06176D70 32 02 00 00 00 00 01 00 6C OF 31 05 E4 61 DO 01 2....... 1. 1. 8? 

06176D80 00 D4 1F D7 61 4B CC 01 6C OF 31 05 E4 61 DO 01 .?88K?1. 1. $É? 

06176D90 6C OF 31 05 E4 61 DO 01 00 00 00 00 00 00 00 00 

06176DA0 00 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 

06176DBO 07 03 63 00 32 00 34 00 2E 00 74 00 78 00 74 00 

06176DC0 14 03 00 00 00 00 01 00 60 00 50 00 00 00 00 00 . 

06176DD0 32 02 00 00 00 00 01 00 6C OF 31 05 E4 61 DO 01__2.......1. 1. %? 

06176DE0 00 D4 IF D7 61 4B CC 01 6C OF 31 05 E4 61 DO O1 2$ K?1. 1. 4E? 

06176DFO 6C OF 31 05 E4 61 DO 01 00 00 00 00 00 00 02 00 1.1. f. A 

06176E00 00 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 

06176E10 07 03 63 00 32 00 35 00 2E 00 74 00 78 00 74 00 

06176E20 15 03 00 00 00 00 01 00 60 00 50 00 00 00 00 00 . 

06176E30 32 02 00 00 00 00 01 00 OC 96 32 05 E4 61 DO 01 2.. 

06176E40 00 D4 IF D7 61 4B CC 01 0C 96 32 05 E4 61 DO 01 .? 让 K?.?. 狂 ? 

06176E50 OC 96 32 05 E4 61 DO 01 00 00 00 00 00 00 00 00 .2?.8?. 

06176E60 00 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 

06176E70 07 03 63 00 32 00 36 00 2E 00 74 00 78 00 74 00 

06176E80 16 03 00 00 00 00 01 00 60 00 50 00 00 00 00 00 

06176E90 32 02 00 00 00 00 01 00 OC 96 32 05 E4 61 DO 01 

06176EA0 00 D4 IF D7 61 4B CC 01 0C 96 32 05 E4 61 DO 01 .? 议 

06176EB0 OC 96 32 05 E4 61 DO 01 00 00 00 00 00 00 00 00 

06176EC0 00 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 

06176ED0 07 03 63 00 32 00 37 00 2E 00 74 00 78 00 74 00 

06176EE0 17 03 00 00 00 00 01 00 60 00 50 00 00 00 00 00 

06176EFO 32 02 00 00 00 00 01 00 OC 96 32 05 E4 61 DO 01 

06176F00 00 D4 1F D7 61 4B CC 01 OC 96 32 05 E4 61 DO 01 

06176F10 OC 96 32 05 E4 61 DO 01 00 00 00 00 00 00 00 00 

06176F20 00 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 

06176F30 07 03 63 00 32 00 38 00 2E 00 74 00 78 00 74 00 

06176F40 18 03 00 00 00 00 01 00 60 00 50 00 00 00 00 00 

06176F50 32 02 00 00 00 00 01 00 OC 96 32 05 E4 61 DO 01 2........ ?. B£? 

06176F60 00 D4 IF D7 61 4B CC 01 0C 96 32 05 E4 61 DO 01  .?M K?. ?. $E? 

06176F70 OC 96 32 05 E4 61 DO 01 00 00 00 00 00 00 00 00 .?. #é?. 

06176F80 00 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 

06176F90 07 03 63 00 32 00 39 00 2E 00 74 00 78 00 74 00 

06176FAO 00 00 00 00 00 00 00 00 10 00 00 00 02 00 00 00 ................ 
图 6.99 ( 续 ) 


(1) 在 562 号 记录 90H 属性 中 存储 了 一 个 索引 节点 号 ,该 索引 节点 号 是 多 少 ? 


(2) 写 出 562 号 记录 A0H 属性 中 的 数据 运行 列表 ,请 根据 AOH 属性 的 数据 运行 列表 将 


LCN、VCN 以 及 索引 节点 编号 填 人 到 表 6. 122 对 应 单元 格 中 。 


O 将 7 号 索引 节点 存储 的 文件 记录 号 a300 文件 夹 记录 号 ,文件 名 以 及 文件 名 后 面 的 指 


针 填 入 到 表 6. 123 对 应 单元 格 中 。 


(4) 根据 7 号 索引 节点 存储 的 文件 名 ,推算 出 其 他 叶 节 点 存储 的 有 效 文件 名 范围 ,并 将 有 


效 文件 名 范围 填 人 到 表 6. 122 对 应 单元 格 中 。 
表 6.122 各 索引 节点 存储 的 文件 名 (十 六 进 制 ) 


LCN 


VCN 


索引 节点 编号 


各 叶 节 点 存储 的 有 效 文件 名 范围 
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续 表 
LCN VCN 索引 节点 编号 各 叶 节点 存储 的 有 效 文件 名 范围 
一 一 一 见 表 6. 123 所 示 
表 6.123 7 号 索引 节点 存储 的 有 效 文件 名 以 及 文件 名 后 的 指针 (十 六 进 制 ) 
文件 a300 文 件 文件 名 文件 a300 文 件 文件 名 
记录 号 KURS ANA 后 的 指针 | 记录 号 č 夹 记录 号 a 后 的 指针 


(5) 在 10 号 索引 节点 中 ,分 配 空间 是 多 少 字 节 ? 实际 占用 空间 是 多 少 字 节 ? 根据 实际 占 
用 空间 计算 出 该 节点 的 结束 地 址 。 

(6) 在 10 号 索引 节点 总 共存 储 了 多 少 个 文件 名 ? 其 中 : 有 效 文件 名 有 多 少 个 ? 无 效 文 件 
名 有 多 少 个 ? 请 分 别 写 出 存储 在 10 号 索引 节点 中 的 有 效 文件 名 和 无 效 文件 名 。 

(7) 请 根据 562 号 记录 90H 属性 存储 的 索引 节点 号 和 各 索引 节点 存储 的 文件 名 , 画 出 
a300 文件 夹 的 BB 一 树 结 构图 ; 并 对 该 B 一 树 结构 图 作 一 些 说 明 。 

6.40 f Windows XP 和 Windows 7 平台 下 ,NTFS 文件 系统 回收 站 结构 。 

6.41 在 Windows XP 平台 下 ,将 文件 放 入 回收 站 后 ,回收 站 文件 夹 有 何 变化 ?将 文件 从 
回收 站 中 彻底 删除 呢 ? 

6.42 在 Windows 7 平台 下 ,将 文件 放 入 回收 站 后 ,回收 站 文件 夹 有 何 变化 ?将 文件 从 
回收 站 中 彻底 删除 呢 ? 

6.43 某 用 户 的 移动 硬盘 只 有 一 个 MBR 分 区 ,存储 在 整个 移动 硬盘 0 号 扇 区 偏 移 
0X01BE—0X01CD 处 的 分 区 表 为 “00 02 03 00 07 B4 70 04 80 00 00 00 00 E8 3F 00”, 该 分 
区 表 对 应 的 文件 系统 为 NTFS, 而 NTFS_DBR 和 NTFS_DBR 备份 均 被 破坏 。 用 户 做 了 如 下 
操作 ( 注 : 素材 文件 为 zy6_43. vhd) 。 

(1) 启动 Windows XP 操作 系统 ,将 该 移动 硬盘 通过 连接 线 插入 到 计算 机 的 USB 接口 作 
为 辅 盘 , 即 磁盘 1. 

(2) 启动 WinHex, 使 用 WinHex 菜单 栏 上 的 “工具 ”一 “打开 磁盘 ”, 在 “Edit Disk 窗口 ” 
中 ,选择 “Physical Media” 下 的 HD1, 即 移动 硬盘 附加 后 的 磁盘 1。 


& 大 话 数据 恢复 


(3) 通过 元 文件 $ MFT 或 $MFTMirr 记录 的 特征 值 ,向 下 查找 元 文件 $MFT 或 
$ MFTMirr 的 0 号 记录 ,在 整个 移动 硬盘 256 一 257 号 扇 区 找到 ,如 图 6. 100 所 示 ; 将 光标 移 
动 至 258 一 259 号 扇 区 , 即 元 文件 $MFT 或 $MFTMirr 的 1 号 记录 ,如 图 6.101 所 示 ( 注 ; 在 
图 6. 100 和 图 6. 101 中 ,无 用 数据 已 被 删除 ) 。 


Offset 01234567 89ABCDEF 
00020000 46 49 4C 45 30 00 03 00 02 17 8E 00 00 00 00 00 
00020010 01 00 01 00 38 00 01 00 98 01 00 00 00 04 00 00 
00020020 00 00 00 00 00 00 00 00 05 00 00 00 00 00 00 00 
00020030 09 00 00 00 00 00 00 00 10 00 00 00 60 00 00 00 
00020040 00 00 18 00 00 00 00 00 48 00 00 00 18 00 00 00 
00020050 DE FF OF E6 El FI D1 01 DE FF OF E6 El F1 D1 01 ?,BE.?. 3. 
00020060 DE FF OF E6 El F1 D1 01 DE FF OF E6 El F1 D1 01 ?. BH. ?. 33. 
00020070 06 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
00020080 00 00 00 00 00 01 00 00 00 00 00 00 00 00 00 00 
00020090 00 00 00 00 00 00 00 00 30 00 00 00 68 00 00 00 
000200A0 00 00 18 00 00 00 03 00 4A 00 00 00 18 00 01 00 
000200B0 05 00 00 00 00 00 05 00 DE FF OF E6 El Fl D1 01 
000200C0 DE FF OF E6 El F1 D1 01 DE FF OF E6 El Fl D1 01 
000200D0 DE FF OF E6 El F1 D1 01 00 00 01 00 00 00 00 00 
000200E0 00 00 01 00 00 00 00 00 06 00 00 00 00 00 00 00 
000200F0 04 03 24 00 4D 00 46 00 54 00 00 00 00 00 00 00 
00020100 80 00 00 00 48 00 00 00 01 00 40 00 00 00 01 00 
00020110 00 00 00 00 00 00 00 00 EF 00 00 00 00 00 00 00 
00020120 40 00 00 00 00 00 00 00 00 00 FO 00 00 00 00 00 
00020130 00 00 FO 00 00 00 00 00 00 00 FO 00 00 00 00 00 
00020140 [2 FO 00 9A 2A 00 BC E3 BO 00 00 00 48 00 00 00 
00020150 01 00 40 00 00 00 02 00 00 00 00 00 00 00 00 00 
00020160 00 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 
00020170 00 00 01 00 00 00 00 00 08 10 00 00 00 00 00 00 
00020180 08 10 00 00 00 00 00 00 
00020190 FF FF FF FF 00 00 00 00 


6.100 存储 在 256 一 257 号 扇 区 的 元 文件 $MFT 或 元 文件 $ MFTMirr 的 0 号 记录 


00020400 46 49 4C 45 30 00 03 00 92 10 40 00 00 00 00 00 
00020410 01 00 01 00 38 00 01 00 58 01 00 00 00 04 00 00 
00020420 00 00 00 00 00 00 00 00 04 00 00 00 01 00 00 00 
00020430 09 00 00 00 00 00 00 00 10 00 00 00 60 00 00 00 
00020440 00 00 18 00 00 00 00 00 48 00 00 00 18 00 00 00 
00020450 DE FF OF E6 El F1 D1 01 DE FF OF E6 El Fl D1 01 
00020460 DE FF OF E6 El F1 D1 01 DE FF OF E6 El F1 D1 01  ?. 3. ?. %8. 
00020470 06 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 _............... 
00020480 00 00 00 00 00 01 00 00 00 00 00 00 00 00 00 00 
00020490 00 00 00 00 00 00 00 00 30 00 00 00 70 00 00 00 
000204A0 00 00 18 00 00 00 02 00 52 00 00 00 18 00 01 00 i š 
000204B0 05 00 00 00 00 00 05 00 DE FF OF E6 El F1 D1 01 . . IRK. 
000204C0 DE FF OF E6 El F1 D1 01 DE FF OF E6 El F1 D1 01 ?. 3. ?. 338. 
000204D0 DE FF OF E6 E1 F1 D1 01 00 00 01 00 00 00 00 00 
000204E0 00 00 01 00 00 00 00 00 06 00 00 00 00 00 00 00 
000204F0 08 03 24 00 4D 00 46 00 54 00 4D 00 69 00 72 00 ..$.M. F. T.M. i.r. 
00020500 72 00 00 00 00 00 00 00 80 00 00 00 48 00 00 00 “© 
00020510 01 00 40 00 00 00 01 00 00 00 00 00 00 00 00 00 
00020520 00 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 
00020530 00 00 01 00 00 00 00 00 00 00 01 00 00 00 00 00 ey 
00020540 00 00 01 00 00 00 00 00 [/r 07 01 00 00 00 00 0 ................ 
00020550 FF FF FF FF 00 00 00 00 — a... 


6.101 存储 在 258 一 259 号 扇 区 的 元 文件 $ MFT 或 元 文件 $ MFTMirr 的 1 号 记录 
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请 回答 下 列 问题 : 
(1) 存储 在 256 一 259 号 扇 区 的 这 两 条 记录 是 属于 元 文件 $MFT 还 是 属于 元 文件 
$ MFTMirr? 为 什么 ? 
(2) 将 元 文件 $ MFT 和 $MFTMirr 的 开始 簇 号 、 结 束 簇 号 、 所 占 簇 数 、 结 束 记录 号 以 及 
开始 得 号 在 NTFS_DBR 中 的 存储 形式 分 别 填 人 到 表 6. 124 对 应 单元 格 中 。 
表 6.124 TX $ MFT 和 $MFTMirr FHRS .结束 艇 号 等 值 表 


元 文件 开始 能 号 ”结束 能 号 ”所 占 和 能 数 记录 号 范围 开始 能 号 在 NTFS_DBR 中 的 存储 形式 
$ MFT 0~ 5 
$ MFTMirr 0~ 5 


(3) 通过 0 号 记录 80H 属性 中 的 相关 值 计算 每 个 簇 的 扇 区 数 。 

(4) 通过 0 号 记录 BOH 属性 中 的 相关 值 计算 每 个 艇 的 扇 区 数 。 

(5) 通过 1 号 记录 80H 属性 中 的 相关 值 计 算 每 个 篮 的 扇 区 数 。 

(6) 通过 存储 在 整个 移动 硬盘 0 号 扇 区 的 MBR 分 区 表 , 计 算 存 储 在 NTFS_DBR 中 的 总 
DESE 

(7) 通过 存储 在 整个 移动 硬盘 0 号 扇 区 的 MBR 分 区 表 , 计 算 存 储 在 NTFS_DBR 中 的 隐 
藏 扇 区 数 。 

(8) 根据 该 NTFS 文件 系统 每 个 簇 的 扇 区 数 , 写 出 元 文件 $ MFT 每 条 记录 大 小 描述 和 每 
个 索引 节点 大 小 描述 。 

(9) 综合 (2) 一 (8) ,将 每 个 簇 的 扇 区 数 、 隐 藏 扇 区 数 、 总 扇 区 数 等 值 的 十 进 制 和 十 六 进 制 
以 及 在 NTFS_DBR 中 的 存储 形式 填 人 到 表 6. 125 对 应 单元 格 中 。 


表 6.125 移动 硬盘 NTFS_DBR 的 部 分 BPB 参数 


字 节 | Š Ë 
字 节 数 & x 
偏 移 十 进 制 | 十 六 进 制 | ”在 NTFS_DBR 中 的 存储 形式 
0X0D 1 每 个 簇 的 扇 区 数 
0X1C 4 隐藏 扇 区 数 
0X28 8 总 扇 区 数 
0X30 8 元 文件 $ MFT FHRS 
0X38 8 元 文件 $ MFTMirr 开始 簇 号 
0X40 1 元 文件 $ MFT 每 条 记录 大 小 描述 
0X44 1 每 个 索引 节点 大 小 描述 


(10) 通过 存储 在 整个 移动 硬盘 0 号 扇 区 的 MBR 分 区 表 ,计算 该 移动 硬盘 的 NTFS_DBR 
和 NTFS_DBR 备份 在 整个 移动 硬盘 中 的 扇 区 号 。 

(11) 将 移动 硬盘 NTFS_DBR 所 在 扇 区 号 以 文件 的 形式 存储 ,文件 名 和 存储 位 置 自 定 , 将 
同一 版 的 NTFS_DBR 复制 到 该 移动 硬盘 NTFS_DBR 所 在 扇 区 号 ,将 NTFS_DBR 在 整个 移 
动 硬盘 中 的 扇 区 号 填 人 到 图 6. 102 Æ F ffi“ Sector of 4194305” 下 面 线 处 ,将 每 个 簇 
的 扇 区 数 、 隐 藏 扇 区 数 .总 扇 区 数 等 值 填 和 人 到 图 6. 102 对 应 下 画 线 处 ,然后 存盘 (实际 操作 题 ) 。 

(12) 将 移动 硬盘 NTFS_DBR 备份 所 在 扇 区 号 以 文件 的 形式 存储 ,文件 名 和 存储 位 置 自 
定 , 将 修改 好 的 NTFS_DBR 复制 到 该 移动 硬盘 NTFS_DBR 备份 所 在 扇 区 号 ,将 NTFS_DBR 
备份 在 整个 移动 硬盘 中 的 扇 区 号 填 人 到 图 6. 103 £ F ff “Sector of 4194305” 下 面 线 


入 大 话 数据 恢复 


处 ,将 每 个 簇 的 扇 区 数 、 隐 藏 扇 区 数 . 总 扇 区 数 等 值 填 人 到 图 6. 103 对 应 下 画 线 处 ; 然后 存盘 
并 退出 WinHex。 


Offset 0 1 2 3 4 5 6 7 8 9 À B C D E FBS 
00010000 EB 52 90 4E 54 46 53 20 20 20 20 00 02 _ 00 00 sR.NTFS ..... 


00010010 DO 00 00 00 00 F8 00 00 3F 00 FF 00 _ — _ .....o..7.7.1... 
00010020 00 00 00 00 80 00 80 00 Tam 

0001000  _ _______ — 二 二 二 二 二 二 dey 
00010040 00 00 0O _ 00 00 00 01 B7 92 66 C6 92 66 86 6 Tidy i 
00010050 00 00 00 00 FA 33 CO 8E DO BC 00 7C FB 68 CO 07 ....ú3ÀIDM.|üúhÀ. 
Sector _ a of4194305 | Offset 10000 | =235 | Block 


6.102 NTFS_DBR 中 的 相关 参数 


Offset |0 1 2 3 4 567 89ABCDE F | 
7FDOFE00 EB 52 90 4E 54 46 53 20 20 20 20 00 02 _ 00 00 | 8R.NIFS 
7FDOFE10 00 00 OD 00 OD F8 00 00 3F 00 FF 00 
7FDOFE20 00 00 00 00 80 00 80 00 


CRETE E A a 
EA DR 


7FDOFE30 a 
7FDOFE40 二 00 00 00 — 00 00 00 .ERE 
7FDOFESO 00 00 00 00 FA 33 CO BE DO BC OD 7C FB 68 CO 07 ....ú3ÀIDM.|ühÀ. 
Sector of4194305 | Ofset 10000] =235| Block 


6.103 NTFS_DBR 备份 中 的 相关 参数 


6.44 根据 你 对 NTFS 文件 系统 的 理解 和 认识 ,你 认为 计算 NTFS 文件 系统 中 每 个 簇 的 
扇 区 数 有 哪 几 种 方法 ? 

6.45 简 述 FAT32 文件 系统 和 NTFS 文件 系统 对 文件 和 子 目录 ( 即 文件 夹 ) 在 管理 方式 
上 的 相同 点 与 不 同 点 。 

6.46 某 硬 盘 0 号 扇 区 偏 移 0X01BE—0X01FD 处 存储 有 4 个 MBR 分 区 表 , 对 应 的 文件 
系统 均 为 NTFS, 由 于 用 户 操作 不 当 , 将 4 个 MBR 分 区 表 删 除 。 用 户 使 用 WinHex 软件 通过 
菜单 栏 上 的 “工具 一 打开 磁盘 ”; 在 “Edit Disk” 窗 口中 ,在 “Physical Media” 下 选择 该 硬盘 的 方 
式 打开 该 硬盘 ,并 将 光标 移动 到 硬盘 的 最 后 一 个 扇 区 ,通过 NTFS_DBR 的 特征 值 向 上 查找 
NTFS_DBR ,分 别 在 1225215 号 、922112 号 、922111 号 、512512 号 、512511 号 、246272 号 、 
246271 号 和 512 号 这 8 个 扇 区 中 查找 到 。 请 回答 下 列 问题 ( 注 : 素材 文件 为 zy6_46. vhd) 。 

A) 你 怎样 来 判断 这 8 个 扇 区 中 哪 4 个 扇 区 存储 的 是 NTFS_DBR , 哪 4 个 扇 区 存储 的 是 
NTFS_DBR 备份 ? 

(2) 请 将 这 4 个 分 区 所 对 应 NTFS_DBR 和 NTFS_DBR 备份 所 在 扇 区 号 填 和 人 到 表 6. 126 
对 应 单元 格 中 ,并 计算 出 4 个 逻辑 盘 的 容量 ( 即 用 户 在 建立 4 个 逻辑 盘 时 ,输入 的 容量 ) ,将 计 
算 结 果 填 人 到 表 6. 126 对 应 单元 格 中 。 


表 6.126 某 硬盘 NTFS_DBR 及 NTFS_DBR 备份 所 在 扇 区 号 


NTFS_DBR NTFS_DBR 备份 在 整个 硬盘 扇 区 号 
在 整个 硬盘 扇 区 号 ( 即 该 分 区 结束 扇 区 号 ) 容量 (单位 : MB) 
第 1 个 = ~ 一 一 
第 2 个 — — — 
第 3 个 — — w 
第 4 个 


G) 请 根据 4 个 NTFS_DBR 所 在 扇 区 号 ,计算 出 4 个 分 区 表 在 硬盘 0 号 扇 区 的 相对 扇 
区 ,并 将 结果 填 人 到 表 6. 127 对 应 单元 格 中 。 
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(4) 请 根据 4 个 NTFS 文件 系统 开始 扇 区 号 和 结束 扇 区 号 ,计算 出 4 个 分 区 总 扇 区 数 ,并 
将 结果 填 人 到 表 6. 127 对 应 单元 格 中 。 


表 6.127 某 硬盘 0 S BE 4 个 分 区 表 的 相对 扇 区 和 总 扇 区 数 
jag | 2E 3 x A EK 总 扇 区 数 

标志 | 十 进 制 | 十 六 进 制 存储 形式 十 进 制 | 十 六 进 制 存储 形式 
第 1 个 07 
第 2 个 07 
第 3 个 07 
第 4 个 07 


(5) 请 根据 表 6.127 中 的 相对 扇 区 和 总 扇 区 数 的 存储 形式 , 写 出 存储 在 整个 硬盘 0 号 扇 
区 偏 移 0X01BE—0X01FD 处 的 4 个 分 区 表 , 并 将 结果 填 人 到 表 6. 128 对 应 单元 格 中 。 

(6) 将 硬盘 0 号 扇 区 以 文件 的 形式 保存 ,文件 名 和 存储 位 置 自 定 ; 请 将 表 6. 128 中 计算 出 
的 4 个 MBR 分 区 表 填 人 到 整个 硬盘 0 号 扇 区 偏 移 0X01BE—0X01FD 处 ,然后 存盘 并 退出 


WinHex( 实 际 操 作 题 ) 。 
表 6.128 某 硬盘 0 号 扇 区 的 4 个 分 区 表 
分 区 表 扇 区 偏 移 存储 在 硬盘 0 号 扇 区 的 4 个 分 区 表 ( 存 储 形式 ) 
第 1 个 | 0X01BE~0X01CD 07 
第 2 个 | 0X01CE—0X01DD 07 
第 3 个 | 0X01DE~0X01ED 07 
第 4 个 | 0X01EE~0X01FD 07 
6.47 某 硬盘 0 号 扇 区 原来 存储 着 4 个 MBR 分 区 表 ,4 个 MBR 分 区 对 应 的 文件 系统 均 


为 NTFS, 由 于 其 他 原因 导致 整个 硬盘 0 号 扇 区 和 每 个 NTFS 文件 系统 的 NTFS_DBR 被 破 
坏 。 用 户 使 用 WinHex 软件 通过 菜单 栏 上 的 “工具 一 打开 磁盘 ”, 在 出 现 的 “Edit Disk” 窗 口 
中 ,在 “Physical Media” 下 选择 该 硬盘 ,打开 该 硬盘 ; 通过 NTFS_DBR 备份 的 特征 值 向 下 查找 
NTFS_DBR 备份 ,分 别 在 266495 号 、.676095 号 .717511 号 和 1122559 号 这 4 个 扇 区 中 查找 
到 ,从 这 4 个 扇 区 中 获得 的 总 扇 区 数 存 储 形式 分 别 为 "FF OF 04 00 00 00 00 00”“FF 3F 06 00 
00 00 00 00”“FF AF 03 00 00 00 00 00” 和 “FF 27 03 00 00 00 00 00”。 请 回答 下 列 问题 ( 注 : 
素材 文件 为 zy6_47. vhd) 。 

(1) 请 将 这 4 个 NTFS 文件 系统 的 NTFS_DBR 备份 在 整个 硬盘 中 的 扇 区 号 填 人 到 表 6. 129 


对 应 单元 格 中 。 
表 6.129 某 硬盘 NTFS_DBR 及 NTFS_DBR 备份 所 在 扇 区 号 
NTFS_DBR NTFS DBR 备份 在 整个 硬盘 中 的 扇 区 号 
分 区 。 在 整个 硬盘 中 的 扇 区 号 《 即 该 分 区 结束 肩 区 号 ) eE Mo 
第 1 个 
第 2 个 
第 3 个 


第 4 个 
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(2) 分 别 通过 4 个 NTFS_DBR 备份 存储 的 总 扇 区 数 计算 出 用 户 在 建立 对 应 逻辑 盘 时 输 
入 的 容量 值 (单位 : MB) ,并 分 别 将 结果 填 入 到 表 6. 129 对 应 单元 格 中 。 

(3) 分 别 通 过 4 个 NTFS_DBR 备份 所 在 扇 区 号 和 总 扇 区 数 , 计 算 4 个 NTFS_DBR 在 整 
个 硬盘 中 的 扇 区 号 ,分 别 将 结果 填 和 人 到 表 6. 129 对 应 单元 格 中 。 

(4) 根据 4 个 NTFS 文件 系统 NTFS_DBR 备份 中 存储 的 总 扇 区 数 , 计 算出 对 应 分 区 表 中 
的 总 扇 区 数 , 并 分 别 将 结果 填 人 到 表 6. 130 对 应 单元 格 中 。 

(5) 根据 4 个 NTFS_DBR 在 整个 硬盘 的 扇 区 号 ,计算 每 个 分 区 表 在 整个 硬盘 0 号 扇 区 的 
相对 扇 区 ,并 将 结果 填 人 到 表 6. 130 对 应 单元 格 中 。 


表 6.130 某 硬盘 0 号 扇 区 4 个 分 区 表 中 的 相对 扇 区 和 总 扇 区 数 


分 区 相对 扇 区 总 扇 区 数 
分 区 表 | ` 
标志 | 十 进 制 | 十 六 进 制 存储 形式 十 进 制 | HAHH 存储 形式 
第 1 个 07 
第 2 个 07 
第 3 个 07 
第 4 个 07 


(6) 根据 表 6. 130 中 的 相对 扇 区 和 总 扇 区 数 的 存储 形式 , 写 出 存储 在 整个 硬盘 0 号 扇 区 
ME 0X01BE—0X01FD 处 的 4 个 分 区 表 , 并 分 别 将 结果 填 入 到 表 6. 131 对 应 单元 格 中 。 


表 6.131 某 硬盘 0 号 扇 区 的 4 个 分 区 表 


分 区 表 扇 区 偏 移 存储 在 硬盘 0 号 扇 区 的 分 区 表 ( 存 储 形式 ) 
第 1 个 | 0X01BE~0X01CD 07 
第 2 个 | 0X01CE~0X01DD 07 
第 3 个 | 0X01DE~0X01ED 07 
第 4 个 | 0X01EE~0X01FD 07 


(7) 将 硬盘 0 号 扇 区 以 文件 的 形式 保存 ,文件 名 和 存储 位 置 自 定 ; 请 恢复 存储 在 0 号 扇 区 
偏 移 0X01BE 一 0X01FD 处 的 4 个 MBR 分 区 表 以 及 结束 标志 ( 即 该 扇 区 的 最 后 两 个 字 节 ) , 然 
后 存盘 (实际 操作 题 ) 。 

(8) 请 将 4 个 NTFS_DBR 所 在 扇 区 以 文件 的 形式 存储 ,文件 名 和 存储 位 置 自 定 ; 通过 
4 个 NTFS_DBR 备份 恢复 各 自 对 应 的 4 个 NTFS_DBR. 然 后 存盘 并 退出 WinHex( 实 际 操 


作 题 ) 。 


6.48 fE H ŽÁHY abcd1300 文件 夹 下 存储 了 1300 个 文件 ,使 用 了 68 个 索引 节点 ,索引 节 
点 编号 范围 为 0 一 67,abcd1300 文件 夹 记 录 号 为 12094, 请 回答 下 列 问题 : 

(1) 你 怎样 来 判断 哪些 节点 是 叶 节 点 ? 哪些 节点 是 非 叶 节点 ? 

(2) 通过 实际 操作 写 出 12094 号 记录 90H 属性 存储 的 有 效 文件 名 及 指针 。 

(3) 通过 实际 操作 写 出 各 叶 节点 号 存储 的 有 效 文件 名 。 

(4) 通过 实际 操作 写 出 各 非 叶 节点 存储 的 有 效 文件 名 及 指针 。 

(5) MiM abcd1300 文件 夹 的 B 一 树 结 构图 ,并 对 B 一 树 结构 图 作 一 些 简单 说 明 。 
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7.1 恢复 分 区 


7.1.1 硬盘 主 引导 扇 区 被 破坏 后 的 现象 


硬盘 的 主 引 导 扇 区 在 整个 硬盘 中 占有 极其 重要 的 地 位 ,一 旦 硬盘 的 主 引导 扇 区 被 破坏 , 计 
算 机 将 无 法 从 硬盘 启动 ; 用 光盘 或 者 U 盘 启 动 后 ,在 资源 管理 器 中 无 法 查看 到 该 硬盘 分 区 所 
产生 的 逻辑 盘 。 因 此 ,掌握 恢复 硬盘 主 引导 扇 区 的 基本 方法 是 十 分 必要 的 ,如 果 计 算 机 在 启动 
时 出 现 如 下 现象 之 一 ,初步 判断 可 能 是 硬盘 主 引 导 扇 区 遭 到 破坏 。 

(1) 开机 后 ,在 屏幕 左上 角 显 示 下 列 信息 之 一 : 

Q) Invalid partition table; 

© Error loading operating system; 

@ Missing operating system, 

(2) 开机 后 死机 ,在 屏幕 上 没有 任何 提示 。 

硬盘 主 引 导 扇 区 被 破坏 的 原因 有 : 计算 机 病毒 的 攻击 .用 户 操作 不 当 、 突 然 掉 电 等 各 种 
因素 。 

在 4.1.6 节 已 经 介绍 过 ,硬盘 的 主 引导 扇 区 由 主 引 导 记 录 、 磁 盘 签 名 、 分 区 表 和 有 效 标 志 
4 个 部 分 组 成 。 有 效 标志 位 于 0 号 扇 区 的 最 后 两 个 字 节 ,固定 值 为 “55 AA”( 存 储 形式 ) ,如 果 
不 是 “55 AA”, 直 接 将 这 两 个 字 节 的 值 改 为 “55 AA”; 磁盘 签名 如 果 被 破坏 ,系统 则 会 自动 
生成 。 下 面 分 别 介绍 恢复 硬盘 的 主 引 导 记 录 和 分 区 表 的 基本 方法 。 


7.1.2 恢复 硬盘 主 引 导 记 录 


一 旦 确定 硬盘 主 引 导 扇 区 中 主 引 导 记 录 被 破坏 后 ,首先 要 询问 用 户 , 并 确认 以 下 3 种 
情况 : 

情况 一 : 硬盘 是 否 安装 过 一 键 还 原 软 件 ? 

情况 二 : 硬盘 是 否 进行 过 加 密 ? 
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情况 三 : 计算 机 主机 内 是 否 安装 过 还 原 卡 ? 

如 果 不 是 以 上 3 种 情况 ,可 以 按 下 列 步骤 来 恢复 硬盘 的 主 引 导 记 录 : 

步骤 1 在 Windows XP 操作 系统 下 ,将 硬盘 作为 辅 盘 ,用 WinHex. exe 软件 或 
DskProbe. exe 软件 读 取 辅 盘 的 主 引 导 肩 区 。 

步骤 2 根据 硬盘 主 引导 扇 区 的 结构 ,进一步 确认 是 否 是 主 引导 记录 被 破坏 ; 如 果 只 是 主 
引导 记录 被 破坏 ,分 区 表 、 磁 盘 签 名 和 有 效 标 志 完好 , 则 只 要 将 其 他 硬盘 正常 的 主 引导 记录 复 
制 到 该 硬盘 的 主 引导 记录 处 即 可 。 


7.1.3 恢复 硬盘 分 区 表 


硬盘 分 区 表 被 破坏 后 ,可 以 使 用 数据 恢复 软件 , 如 : DiskGenus、EasyRecovery 或 者 
WinHex 扫描 丢失 分 区 功能 来 恢复 ; 也 可 以 通过 手工 方式 来 重建 硬盘 MBR 分 区 表 。 下 面 以 
实例 的 形式 介绍 手工 恢复 硬盘 MBR 分 区 表 的 基本 思路 .方法 与 操作 步骤 。 

例 7.1 某 用 户 的 计算 机 只 有 一 个 硬盘 ,该 硬盘 被 划分 为 4 个 MBR 分 区 ,分 区 结构 如 
图 7. 1 所 示 ; 由 于 用 户 操 作 不 慎 , 在 使 用 计算 机 管理 时 ,将 所 有 MBR 分 区 表 全 部 删除 后 ,发 现 
4 个 逻辑 盘 中 的 数据 没有 备份 ,要 求 恢复 4 个 逻辑 盘 中 的 全 部 数据 ( 注 : 素材 文件 名 为 
abcd71. vhd; C ÆA D 盘 的 文件 系统 是 FAT32,E 盘 和 下 盘 的 文件 系统 是 NTFS) 。 
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7.1 删除 分 区 表 前 硬盘 结构 图 


【分 析 】 当 硬盘 分 区 表 被 删除 后 ,存储 在 各 逻辑 盘 中 的 数据 仍然 保存 完好 ,如 果 用 户 再 用 
计算 机 管理 或 其 他 分 区 软件 进行 重新 分 区 ,将 会 给 数据 恢复 带 来 一 定 的 困难 ; 因此 ,如 果 只 是 
MBR 分 区 表 被 删除 ,最 好 通过 手工 方式 来 重建 MBR 分 区 表 。 

分 区 表 被 删除 前 各 分 区 结构 如 图 7. 1 所 示 ; 分 区 表 被 删除 后 各 分 区 结构 如 图 7. 2 所 示 。 
从 图 7.1 到 图 7. 2 变化 可 知 ,由 于 各 分 区 表 和 链接 项 被 删除 ,在 资源 管理 器 中 无 法 查看 到 4 个 
逻辑 盘 符 ,但 存储 在 4 个 逻辑 盘 中 的 数据 仍然 完好 无 损 。 


主 
a 保 | c& 保 | D 盘 保 | E 盘 保 | F 
记 留 | (FAT32) 留 FAT32) 留 | NTFS) 留 | NTFS) 
录 
图 7.2 删除 分 区 表 后 硬盘 结构 图 
【操作 步骤 】 


步骤 1 将 光标 移动 到 桌面 上 的 计算 机 图 标 前 , 右 击 ,从 弹出 的 快捷 菜单 中 选择 “管理 
(G)”, 弹 出 “计算 机 管理 ”窗口 。 
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步骤 2 在 “计算 机 管理 ”窗口 中 选择 “磁盘 管理 ”, 单 ss 
击 菜单 栏 上 的 “操作 (A) 一 附加 VHD” ER ue eeens 
拟 硬盘 "窗口 中 选择 虚拟 硬盘 文件 abcd71. vhd 后 ,可 以 看 | Qm po 
到 “磁盘 1 基本 399MB 联机 ”, 但 未 分 配 ,如 图 7. 3 所 示 ; | Q= E> 
到 资源 管理 器 中 无 法 查看 到 该 虚拟 硬盘 所 产生 的 4 个 逮 辑 | 名 sm》 | asss 
盘 符 。 " ; 

步骤 3 将 光标 移动 到 “磁盘 retk Aag S Ca R 
捷 菜 单 中 选择 “分离 VHD”, 单 击 "确定 ”按钮 。 

下 面 分 别 介绍 3 种 数据 恢复 的 基本 思路 .方法 和 步骤 。 

【数据 恢复 基本 思路 (一 )】 

恢复 4 个 逻辑 盘 在 整个 硬盘 0 号 扇 区 偏 移 0X01BE—0X01FD 处 对 应 的 4 个 MBR 分 区 


表 , 恢 复 后 的 硬盘 结构 如 图 7.4 所 示 。 
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7.4 人 恢复 硬盘 0 号 扇 区 4 个 MBR 分 区 表 后 的 结构 图 


【数据 恢复 方法 (一 )】 
(1) 将 要 恢复 数据 的 硬盘 作为 辅 盘 接 到 另 一 台 计算 机 上 , 即 磁盘 1( 注 : 在 真实 环境 下 , 计 


算 机 的 操作 系统 为 Windows XP), 

(2) 查找 磁盘 0 时 C 盘 .DD 盘 \E 盘 和 下 盘 的 DBR 所 在 扇 区 号 ( 即 开始 扇 区 号 ) 。 

(3) M CAD AE AA F AK DBR 分 别 获得 C 盘 .DD 盘 .E 盘 和 下 盘 的 总 肩 区 数 。 

(4) IRH CAD AE KF 盘 的 开始 扇 区 号 和 总 扇 区 数 ,分 别 计算 出 C 盘 .D AE 盘 和 
F 盘 在 主 引导 扇 区 ( 即 整 个 硬盘 0 号 扇 区 ) 的 4 个 MBR 分 区 表 。 

(5) 将 这 4 个 MBR 分 区 表 填 人 到 整个 硬盘 0 号 扇 区 偏 移 0X01BE—0X01FD 处 。 

【操作 步骤 (一 )】 

步骤 1 启动 WinHex 软件 ,选择 菜单 栏 上 的 “文件 一 打开 ”; 在 弹出 的 “打开 文件 窗口 ” 
中 选择 abcd71. vhd 文件 后 , 单 击 “ 打 开 (O)? 按 钮 。 

步骤 2 选择 菜单 栏 上 的 “专家 一 映像 文件 为 磁盘 (A)”; 将 光标 移动 到 整个 硬盘 0 5 Bi 
区 存放 4 个 MBR 分 区 表 的 位 置 处 ,可 以 看 到 其 值 为 “00”, 如 图 7.5 所 示 。 

步骤 3 查找 FAT32_DBR 在 整个 硬盘 中 的 位 置 。 

选择 菜单 栏 上 的 “搜索 一 查找 Hex 数值 (HD)...”, 出 现 “Find Hex Values” 窗 口 ,在 “The 
following hex values will be searched: ”列表 框 中 输入 “EB5890”( 注 : FAT32_DBR 的 开始 代 
码 为 “EB5890”); 在 “Search: ”下 拉 框 中 选择 “Down”; 选择 “Cond. : ”前 的 复 选 框 ; 在 “offset 


全 大 话 数据 恢复 


Parttioning sye MER = = 
Tonma Ta a 。 整个 硬盘 0 号 扇 区 存放 分 区 表 处 的 值 为 0 J 

L Unpamtionea space ET ° 

T] Unparttionanie space 23w 814464 

i m| Offset |0 1234567 8 = 

000001B0 65 6D 00 00 00 63 78 9A 2E C9 B Bo 92[00 00|sm..-cttE 
Taal a ogee | oo000lc0 [00 00 00 00 00 00 00 00 00 OO OO 00 OO OO OO 00 
2 aes | 000001D0 |oo oo oo oo oo oo oo oo 00 OO OO OO 00 00 00 00 

Byespersedor = 512 | oo0001E0 |oo oo oo oo oo oo oo oo oo 00 OO 00 00 00 00 00 

Sus sedom ena 4737 | 000001F0 [oo oo 00 00 00 00 00 00 00 00 00 00 00 OD [SS AA 
Lomset E Toa 


7.5 使 用 WinHex 打开 abcd71. vhd 并 映像 为 磁盘 后 的 0 5A 
mod” 右 侧 的 两 个 文本 框 中 分 别 输入 “512” 和 “0”; 如 图 7.6 所 示 ; 单 击 OK 按钮 。 


步骤 4 在 整个 硬盘 的 128 号 扇 区 找到 第 1 个 


FAT32_DBR ,如 图 7.7 所 示 。 
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7.6 查找 FAT32_DBR 


步骤 5 fk F3 键 继续 向 下 查找 ,分 别 在 134、 


7.7 在 整个 硬盘 的 128 号 扇 区 找到 第 1 个 FAT32_DBR 


205056 和 205062 号 扇 区 也 找到 FAT32_ 


DBR。 经 确认 134 号 扇 区 的 FAT32_DBR 为 128 号 扇 区 FAT32_DBR 的 备份 ; 而 205062 号 
扇 区 的 FAT32_DBR 为 205056 号 扇 区 FAT32_DBR 的 备份 。 将 光标 移动 到 205056 号 扇 区 ， 


如 图 7.8 所 示 。 


2 Wes, 0 partions 


"I 
|- Unparttionabie space 


隐藏 扇 区 为 0X00000080 


Undo levar o| Off 01234567 

Undo reverses: ma EB 58 90 4D 53 44 4F 53 

A 02 00 00 00 00 Fë 00 00 

en 06420020 [00 DO 02 00js1 02 00 00 

“19490912 mas | 06420030 [01 OO 06 OO 00 00 00 00 

Bylae por socor: 512| 06420040 80 00 29 F9 OB ES DO 4E 
Surplus sectors at end 4737 


06420050 
Otset 


20 20 46 41 54 33 32 20 
542008F 


7.8 在 整个 硬盘 205056 号 扇 区 


=5| Block 


8 9 DEF 

35 2E 30 00 D> b2 9E 1A eX.MSDOSS.0...i. IM 
3F OO FF oo[80 00 00 00] .... ya 

00 00 00 00 02 00 00 00 .3... 
00 00 00 00 00 00 00 00 .... 
AF 20 4E 41 4D 45 20 20 1.)u 


20 20 33 C9 8E D1 BC F4 
ma 


FAT32 Éw 
Size 


找到 第 2 个 FAT32_DBR 


步骤 6 查找 NTFS_DBR 在 整个 硬盘 中 的 位 置 。 


选择 菜单 栏 上 的 “搜索 一 查找 Hex 数值 CH).. 


.” s W “Find Hex Values” 窗 口 ,在 “The 


following hex values will be searched; ”列表 框 中 输入 “EB5290”( 注 : NTFS_DBR 的 开始 代 
码 为 “EB5290”); 在 “Search: ”下 拉 框 中 选择 “Down”; 选择 “Cond. : ”前 的 复 选 框 ; 在 “offset 
mod” 右 侧 的 两 个 文本 框 中 分 别 输入 “512” 和 “0”; 单 击 OK 按钮 。 在 整个 硬盘 389504 号 扇 区 


找到 第 1 个 NTFS_DBR ,如 图 7.9 所 示 。 


步骤 7 f F3 键 继续 向 下 查找 ,分 别 在 598399、598528 和 809471 号 扇 区 也 找到 NTFS, 


DBR。 经 确认 598399 号 扇 区 的 NTFS_DBR 为 


389504 5 Bj X NTFS_DBR 的 备份 ; 而 


809471 号 扇 区 的 NTFS_DBR 为 598528 5 £ NTFS_DBR 的 备份 ; 将 光标 移动 到 598528 


号 扇 


区 ,如 图 7. 10 所 示 。 
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2 les 0 partitions | 


Tolalcapady 400NB 


Bytes persedor — 512 
Surplus seciors at end:4737 


区 为 0X00000080 ] 


Undo levet: 加 | 一 offaet 
Undo reverses: ma| 0BE30000 


| oBE30010 
0BE30020 
0BE30030 
0BE30040 
0BE30050 


419430.912 bytes 


F8 00 Ù 
00 80 00 
00 o0 00 02 00 0 
00 00 00 51 47 C; 
33 C0 8E DO BC O 


=7 | Biock na Size: 


- Unpannonea space 


[T Unparttionabie space 23WB 
Gi o| offset | o 1 2 3 7 
Undo reverses: ma | 12440000 

12440010 


00 00 00 00 80 00 80 00 
55 22 00 00 00 00 00 00 
F6 00 00 00 01 00 00 00 C3 DD C8 76 08 C9 76 62 
00 00 00 00 FA 33 CO 8E DO BC 00 7C FB 68 CO 07|.. 

Ma| Size: 


Bres per sector: 512 
Surplus sectors at end 4737 


(Eror 598528 of 81920; 


12440020 
12440030 
12440040 
12440050 
Ofset 


capac. 400 mB 
419,430,912 byles 


EB 52 90 4E 54 46 
00 00 00 00 00 F8 00 


14244002F 


3F 00 FF 00 


=0 Bock 


00 00 00 
FF 37 03 00 00 00 00 00 
02 00 00 OO 00 00 00 00 


3AIDK. | ahA. 


ma, 


图 7.10 在 整个 硬盘 598528 号 扇 区 找到 第 2 个 NTFS_DBR 


步骤 8 根据 图 7.7 一 图 7. 10, 可 以 得 到 4 个 文件 系统 在 整个 硬盘 中 的 基本 情况 , 见 表 7.1 
所 列 。 
表 7.1 4 个 文件 系统 的 DBR 及 DBR 备份 在 整个 硬盘 中 的 扇 区 号 
DBR 中 存储 的 总 扇 区 数 
分 区 文件 系统 DBR 所 在 扇 区 号 DBR 备份 所 在 扇 区 号 
十 进 制 十 六 进 制 
第 1 个 FAT32 128 134 204800 32000 
第 2 个 FAT32 205056 205062 184320 2D000 
第 3 个 NTFS 389504 598399 208895 32FFF 
第 4 个 NTFS 598528 809471 210943 337FF 


步骤 9 根据 表 7.1, 可 以 得 到 4 个 文件 系统 对 应 4 个 MBR 分 区 表 主 要 参数 基本 情况 , 见 


表 7.2 所 列 。 
表 7.2 4 个 MBR 分 区 表 主 要 参数 
相对 扇 区 ( 即 DBR 所 在 扇 区 号 总 扇 区 数 
分 区 文件 系统 
十 进 制 十 六 进 制 十 进 制 十 六 进 制 
第 1 个 FAT32 128 80 204800 32000 
第 2 个 FAT32 205056 32100 184320 2D000 
第 3 个 NTFS 389504 5F180 208896 33000 
第 4 个 NTFS 598528 92200 210944 33800 


步骤 10 ”根据 表 7.2, 可 以 计算 出 4 个 分 区 中 相对 扇 区 和 总 扇 区 数 在 分 区 表 中 的 存储 形 
式 , 见 表 7.3 所 列 ( 注 : DBR 所 在 扇 区 号 也 就 是 硬盘 0 号 扇 区 分 区 表 中 的 相对 肩 区 ) 。 
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表 7.3 硬盘 4 个 MBR 分 区 表 的 相对 扇 区 和 总 扇 区 数 情 况 表 (存储 形式 ) 


分 区 文件 系统 相对 扇 区 总 扇 区 数 
第 1 个 FAT32 80 00 00 00 00 20 03 00 
第 2 个 FAT32 00 21 03 00 00 D0 02 00 
第 3 个 NTFS 80 F1 05 00 00 30 03 00 
第 4 个 NTFS 00 22 09 00 00 38 03 00 
步骤 11 根据 表 7. 3, 可 以 计算 出 存储 在 整个 硬盘 0 号 扇 区 偏 移 0X01BE—0X01FD 处 4 


个 MBR 分 区 表 ( 存 储 形 式 ) , 见 表 7.4 所 列 。 
表 7.4 整个 硬盘 0 号 扇 区 4 个 MBR 分 区 表 的 存储 形式 


扇 区 偏 移 


自 举 


开始 地 址 


分 区 


结束 地 址 


分 区 表 。 〈 十 六 进 制 ) 标志 (未定 义 ) ”标志 kew 相对 肩 区 。。 总 肩 区 数 

第 1 个 01BE—01CD 00 00 00 00 0B FE FF FF 80 00 00 00 00 20 03 00 
第 2+ 01CE—01DD 00 00 00 00 0B FE FF FF 00 21 03 00 00 D0 02 00 
第 3 个 01DE~01ED 00 00 00 00 07 FE FF FF 80 F1 05 00 00 30 03 00 
第 4 个 01EE—01FD 00 00 00 00 07 FE FF FF 00 22 09 00 00 38 03 00 


对 表 7.4 作 如 下 说 明 : 

(1) 由 于 这 4 分 区 表 都 不 引导 操作 系统 , 自 举 标 志 均 填 为 “00”。 

(2) 第 1.2 个 分 区 的 文件 系统 为 FAT32, 从 表 4.1 可 知 ,分 区 标志 为 “0B? 或 者 “0C”; 而 
第 3、4 个 分 区 的 文件 系统 为 NTFS, 从 表 4. 1 可 知 ,分 区 标志 为 “07”。 

(3) 由 于 存储 方式 为 LBA ,开始 地 址 和 结束 地 址 均 未 定义 ,这 里 4 个 分 区 的 开始 地 址 填充 
为 “00 00 00”, 而 结束 地 址 则 填充 为 "FE FF FF”( 注 : 这 6 字 节 也 可 以 填充 其 他 任意 值 )。 

步骤 12 将 这 4 个 分 区 表 填 人 到 整个 硬盘 0 号 扇 区 偏 移 0X01BE—0X01FD 处 ,如 图 7. 11 
所 示 ,存盘 并 退出 WinHex。 


| 4 个 分 区 表 的 总 扇 |sssama 
区 数 (存储 形式 ) 


1 

1c oofoBfFE FF FFTS0 00 00 oojoo 20 03 00 foofoo 
00000100 |oo 如 |oalFE FF FFfoo 21 03 oofoo po oz oo looloo 
000001E0 |oo oo|o7jFE FF FF|so F1 os oofoo 30 03 oo looloo 
000001F0 [oo ooloz]rE FF FFloo 22 09 oojoo 38 03 00f55 AA 


Ofset EF z0 Boa 


4 个 分 区 表 的 相对 


Bespersedor — 512 
Surplus sectors at end:4737 


otal capacity. 400MB 
419,430,912 bytes 


图 7.11 将 4 个 分 区 表 填 人 硬盘 0 号 扇 区 偏 移 0X01BE—0X01FD 处 


步骤 13 在 计算 机 管理 中 附加 abcd71. vhd 后 ,可 以 看 到 磁盘 1 中 卫 盘 .I 盘 .J 盘 和 开 
盘 , 如 图 7.12 所 示 , 也 就 是 磁盘 0 时 的 C 盘 .D 盘 \E 盘 和 下 盘 。 


[asp anw saw ero 
*s *mumpes 


|E en [w T = a x=s[==|==] - [ms 
isara | 4 个 主 分 区 所 对 应 的 4 个 逻辑 盘 j os e o 
© estsale m sa = oa 
u ao maar T Me ow E o m+ 
ele ee sw Ee mus sma ax š m 
二 me sm arsa 
Su uel 一 = | 
A asm se 

ana |a eunn foma [Ses [S 
esa | sn a S| We SSRF 

‘EE [aseenzos nrməz u ansa nzessan j 


Æ 7.12 附加 abcd71. vhd 后 在 计算 机 管理 中 查看 到 的 4 个 逻辑 盘 
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到 资源 管理 器 中 可 以 看 到 这 4 个 逻辑 中 存储 的 文件 和 文件 夹 。 注 : 由 于 DBR 中 隐藏 扇 
区 数 的 正确 性 系统 不 作 校 验 ; 所 以 ,I 盘 、J AA 盘 DBR 中 的 隐藏 扇 区 数 未 做 修改 。 

【数据 恢复 基本 思路 (二 )】 

恢复 MBR 分 区 表 被 删除 前 的 结构 ,如 图 7. 1 所 示 。 

【数据 恢复 方法 (二 )】 

(1) H$ C #.D #.E #.F 盘 分 区 表 和 扩展 分 区 表 。 

(2) 计算 E 盘 链接 项 和 下 盘 链 接 项 的 分 区 表 。 

(3) 计算 D 盘 分 区 表 和 下 盘 链 接 项 所 在 扇 区 号 ,计算 下 盘 分 区 表 和 下 盘 链接 项 所 在 扇 区 
号 ,计算 F 盘 分 区 表 所 在 扇 区 号 。 

(4) 将 计算 好 的 C 盘 分 区 表 与 扩展 分 区 表 填 入 到 整个 硬盘 0 号 扇 区 偏 移 0X01BE ~ 
0X01DD 处 。 

(5) 将 D 盘 分 区 表 和 下 盘 链 接 项 填 人 到 D 盘 分 区 表 和 下 盘 链接 项 所 在 扇 区 偏 移 0XOIBE 一 
0X01DD 处 。 

(6) Hi E RIKKA F 盘 链 接 项 填 人 到 盘 分 区 表 和 下 盘 链 接 项 所 在 扇 区 偏 移 0XOLBE 一 
0X01DD 处 。 

(7) 将 下 盘 分 区 表 填 人 到 下 盘 分 区 表 所 在 扇 区 偏 移 0X01BE—0X01CD 处 。 

【操作 步骤 (二 )】 

步骤 1 一 步骤 8 与 【操作 步骤 (一 )】 中 的 步骤 1 一 步骤 8 相同 ; 

步骤 9 根据 图 7.7 一 图 7. 10, 可 以 得 到 4 个 MBR 分 区 基本 情况 , 见 表 7.5 所 列 。 

表 7.5 4 个 逻辑 盘 基本 情况 表 


y 区 文件 系统 DBR 所 在 DBR 备份 所 UMKM 容量 
扇 区 号 在 扇 区 号 (单位 : MB) 
第 1 个 (C 盘 ) FAT32 128 134 204800 100 
第 2 个 (D 盘 ) FAT32 205056 205062 184320 90 
第 3 个 (E 盘 ) NTFS 389504 598399 208896 102 
第 4 个 (F 盘 ) NTFS 598528 809471 210944 103 


注 : NTFS_DBR 中 存储 的 总 扇 区 数 比 对 应 MBR 分 区 表 中 总 扇 区 数 少 1 个 扇 区 


步骤 10 ”由 于 硬盘 分 区 采用 的 是 C 盘 分 区 与 扩展 分 区 形式 ,而 4 个 DBR 中 隐藏 扇 区 数 
均 为 128( 注 : Æ DBR 中 的 存储 形式 为 *80 00 00 00”); 所 以 ,4 个 逻辑 盘 对 应 分 区 表 的 相对 扇 
区 均 为 128。 

H T C 盘 的 相对 扇 区 为 128 ,总 扇 区 数 为 204800, 由 式 (4. 10) 可 知 : 

扩展 分 区 相对 扇 区 = C 盘 相对 扇 区 + C 盘 总 扇 区 数 = 128 + 204800 
= 204928 (EI 0X032080) 

D 盘 分 区 表 和 下 盘 链 接 项 所 在 扇 区 号 也 就 是 扩展 分 区 表 开始 扇 区 号 ,而 F 盘 NTFS_ 
DBR 备份 所 在 扇 区 号 ,也 就 是 第 4 个 分 区 结束 扇 区 号 ,所 以 

扩展 分 区 总 扇 区 数 = 第 4 个 分 区 结束 扇 区 号 一 扩展 分 区 相对 扇 区 十 1 
= 809471 — 204928 十 1 = 604544 

注 : Æ Windows 7 下 ,扩展 分 区 所 占 扇 区 数 一 般 要 比 实际 空间 多 2MB, 即 4096 个 肩 区 ; 
也 就 是 说 ,在 Windows 7 下 ,扩展 分 区 总 扇 区 数 为 608640( 即 0 X094980 ,在 分 区 表 中 存储 形式 
为 80 49 09 00) ,4 个 逻辑 盘 的 分 区 表 和 扩展 分 区 表 见 表 7.6 所 列 。 
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表 7.6 4 个 逻辑 盘 和 扩展 分 区 MBR 分 区 表 ( 存 储 形式 ) 


分 区 表 AKRE 自 举 ”开始 地 址 分 区 ”结束 地 址 
(十 六 进 制 ) ”标志 (未 定义 ) “标志 (REW 
第 1 个 (C 盘 ) 01lBE~01CD 00 00 00 00 OB FEFFFF 80000000 00200300 
扩展 分 区 表 01CE~01DD 00 00 00 00 OF FEFFFF 80200300 80490900 
第 2 个 (D 盘 ) 01lBE~01CD 00 00 00 00 OB FEFFFF 80000000 00Do0200 
第 3 个 (E 盘 ) 01BE—01CD 00 00 00 00 07 FEFFFF 80000000 00 300300 
第 4 个 (F 盘 ) 01BE~01CD 00 00 00 00 07 FEFFFF 80000000 00 380300 


相对 扇 区 总 扇 区 数 


步骤 11 C 盘 分 区 表 和 扩展 分 区 存储 在 整个 硬盘 0 号 扇 区 ,由 式 (4. 18) 一 式 (4. 20) 可 以 
计算 出 DD 盘 分 区 表 和 开盘 链接 项 .上 盘 分 区 表 和 下 盘 链 接 项 下 盘 分 区 表 所 在 扇 区 号 。 
D 盘 分 区 表 和 下 盘 链接 项 所 在 扇 区 号 = C 盘 相 对 扇 区 + C 盘 总 扇 区 数 
一 128 十 204800 一 204928 
E ROKKA F 盘 链 接 项 所 在 扇 区 号 = D 盘 分 区 表 和 下 盘 链接 项 所 在 扇 区 号 十 
D 盘 相 对 扇 区 + D 盘 总 扇 区 数 
= 204928 + 128 + 184320 = 389376 
F 盘 分 区 表 所 在 扇 区 号 = E 盘 分 区 表 和 下 盘 链接 项 所 在 扇 区 号 十 
E 盘 相 对 扇 区 + E 盘 总 扇 区 数 
= 389376 + 128 + 208896 = 598400 
步骤 12 HE 盘 链接 项 分 区 表 和 下 盘 链 接 项 分 区 表 。 
式 (4.11) 可 知 : 
下 盘 链接 项 相对 扇 区 = D 盘 相 对 扇 区 + D 盘 总 扇 区 数 = 128 + 184320 = 184448 
式 (4.12) 可 知 : 
F 盘 链 接 项 相对 扇 区 = 下 盘 相对 扇 区 + E 盘 总 扇 区 数 + E 盘 链接 项 相对 扇 区 
一 128 十 208896 十 184448 一 393472 


式 (4.14) 可 知 : 

E 盘 链 接 项 总 扇 区 数 = 下 盘 相对 扇 区 + E 盘 总 扇 区 数 = 128 + 208896 = 209024 
式 (4.15) 可 知 : 
F 盘 链 接 项 总 扇 区 数 = F 盘 相 对 扇 区 + F 盘 总 扇 区 数 = 128 + 210944 = 211072 
所 以 ,E 盘 链 接 项 下 盘 链 接 项 相对 扇 区 和 总 扇 区 数 见 表 7.7 所 列 。 


表 7.7 EE 盘 链接 项 \F 盘 链接 项 相对 扇 区 和 总 扇 区 数 情况 表 


TE 相对 扇 区 总 扇 区 数 
十 进 制 十 六 进 制 存储 形式 十 进 制 十 六 进 制 存储 形式 
卫 盘 链接 项 184448 2D080 80 DO 02 00 209024 33080 80 30 03 00 
F 盘 链 接 项 393472 60100 00 01 06 00 211072 33880 80 38 03 00 


因此 ,E 盘 链 接 项 的 分 区 表 为 "00 00 00 00 OF FE FF FF 80 DO 02 00 80 30 03 00” , ff fi# 
在 204928 号 扇 区 偏 移 0X01CE—0X01DD 处 ; 而 下 盘 链 接 项 的 分 区 表 为 “00 00 00 00 OF FE 
FF FF 00 01 06 00 80 38 03 00”, 存 储 在 389376 号 扇 区 偏 移 0X01CE—0X01DD 处 。 

步骤 13 综合 步骤 10 一 步骤 12, 各 分 区 表 及 存放 位 置 见 表 7. 8 所 列 。 

步骤 14 启动 WinHex, 选 择 菜单 栏 上 的 “文件 一 打开 ”, 在 弹出 的 “打开 文件 窗口 中 ”选择 
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“abcd71. vhd” 文 件 ; 选择 菜单 栏 上 的 “专家 一 映像 文件 为 磁盘 ”; ERE E M i E Go 
To Sector”, 在 弹出 的 “Go To Sector” 窗 口中 选择 Logical”, 将 光标 移动 到 整个 硬盘 0 号 扇 区 ; 
将 表 7.8 中 C 盘 分 区 表 和 扩展 分 区 表 填 人 到 整个 硬盘 0 号 扇 区 偏 移 0X01BE—0X01DD 处 , 然 
后 存盘 ,如 图 7.13 所 示 。 


表 7.8 4 个 逻辑 盘 、 扩 展 分 区 和 2 个 链接 项 的 MBR 分 区 表 


扇 区 偏 移 
分 区 表 存储 扇 区 号 (十 六 进 制 ) 各 分 区 表 存 储 形式 
C 盘 分 区 表 0 01BE—01CD 00 00 00 00 0B FE FF FF 80 00 00 00 00 20 03 00 
扩展 分 区 表 0 01CE—01DD 00 00 00 00 0F FE FF FF 80 20 03 00 80 49 09 00 
D 盘 分 区 表 204928 01BE—01CD 00 00 00 00 0B FE FF FF 80 00 00 00 00 D0 02 00 
E 盘 链接 项 204928 01CE—01DD 00 00 00 00 0F FE FF FF 80 D0 02 00 80 30 03 00 
ERDEK 389376 01BE—01CD 00 00 00 00 07 FE FF FF 80 00 00 00 00 30 03 00 
F 盘 链 接 项 389376 01CE—01DD 00 00 00 00 OF FE FF FF 00 01 06 00 80 38 03 00 
F 盘 分 区 表 598400 01BE—01CD 00 00 00 00 07 FE FF FF 80 00 00 00 00 38 03 00 


0 1 2 34567 89ABCDEF 
J 65 6D 00 00 00 63 7B 9A 2E C9 9F 5B BO 92[00 OO] 


7.13 将 C 盘 分 区 表 和 扩展 分 区 表 填 人 到 硬盘 0 号 扇 区 偏 移 0X01BE—0X01DD 处 


步骤 15 将 光标 移动 到 整个 硬盘 204928 号 扇 区 ,将 表 7.8 中 的 D 盘 分 区 表 和 EE 盘 链 接 
项 填 人 到 204928 号 扇 区 偏 移 0X01BE—0X01DD 处 ,然后 存盘 ,如 图 7. 14 所 示 。 


01234567 6869AB CD 
— 00 00 00 00 00 00 00 00 00 00 00 00 00 00[00 00] 

|| ooooolco [oo o0 oB FE FF FF 50 00 00 00 00 D00200 H 
00000100 (00 00 OF FE FF FF 60 DO 02 00 80 30 03 00j00 00 


E 熏 链接 项 Jog oo oo oo of W GB 2049283 IDAEA 
ceam KRAER REDERE) 


EF 


图 7.14 将 D 盘 分 区 表 和 下 盘 链 接 项 填 人 到 硬盘 204928 5 K 0X01BE~0X01DD 处 


将 光标 移动 到 整个 硬盘 389376 号 扇 区 ,将 表 7. 8 中 的 EE 盘 分 区 表 和 下 盘 链 接 项 填 人 到 
389376 号 扇 区 偏 移 0X01BE—0X01DD 处 ,然后 存盘 ,如 图 7. 15 所 示 。 


EF 
00 00 


E 盘 分 区 表 |o 1 2 3 4 5 6 7 89ABCD 


00 00 00 00 00 00 00 00 00 00 00 00 00 00 


oi 00 00 OQ 


mo oo o0 oo od 4 -BERR3893765:5jDC(HIE#t4y 


将 光标 移动 到 整个 硬盘 598400 5K ,将 表 7. 8 中 的 F 盘 分 区 表 填 和 人 到 598400 号 扇 区 
偏 移 0XO01BE 一 0XO1CD 处 ,如 图 7. 16 所 示 ,然后 存盘 并 退出 WinHex, 

步骤 16 通过 计算 机 管理 中 的 磁盘 管理 功能 附加 abcd71. vhd 后 ,在 计算 机 管理 中 的 磁 
盘 管 理 中 可 以 看 到 4 个 逻辑 盘 盘 符 ,如 图 7. 17 所 示 。 到 资源 管理 器 中 可 以 看 到 H ALAJ 
盘 和 开盘 ( 即 磁盘 0 时 C 盘 `D 盘 上 盘 和 F 盘 ) 中 存储 的 文件 夹 和 文件 。 
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j offset Lo 1 2 3 4 5 6 7 8 9 AB C DE F 
oo oo oo og oo oo oo oo 00 00 00 oo oo oO [02 oo 
00 00-5 an3a 0300|00 00 


00 00 整个 硬盘 598400 号 扇 区 ( 即 p N 


oo oo| 


m oa [ 改 分 区 表 所 在 遍 区 号 ) 上 h 


=æ |sməm | CE 
39MB 39 MB 
FAT32 96 MB 91 MB 
FAT32 86 MB 37 MB 
NTFS 102 MB 59 MB 
NTFS 103 MB 83 MB 


2 | 09 
100 MB FAT32 | 102 MB NTFS 103 MB NTFS 
状态 良好 ( 主 分 区 ) || 状 赤 良好 EREDE || 状态 良好 (EEDA) | 状 志良 好 (EEDE) 


B 未 分 本 8 主 分 区 8 扩展 分 区 B 可 用 空间 8 pussaa 


图 7.17 附加 abcd71. vhd 后 ,磁盘 管理 中 查看 到 的 磁盘 1 


【数据 恢复 基本 思路 (三 )】 

恢复 MBR 分 区 表 被 删除 前 的 结构 ,如 图 7.1 所 示 。 

【数据 恢复 方法 (三 )】 

(1) HACA DAER FAMI RIKARE. 

(2) 通过 计算 机 管理 功能 建立 C 盘 分 区 和 扩展 分 区 。 

温馨 提示 : 在 建立 分 区 时 ,“ 千 万 不 要 对 C 盘 进 行 格式 化 "操作 。 

(3) 在 扩展 分 区 中 依次 建立 D 盘 ,E 盘 和 下 盘 分 区 。 再 次 温 声 提示 : 在 建立 分 区 时 ,二 
TRED AE Aie F ARAE RL E, 

(4) 最 后 分 别 通过 C 盘 .D 盘 \E 盘 和 下 盘 的 DBR & y ok ik E C 8 .D AE AM F # 
的 DBR; 即将 整个 硬盘 134 号 扇 区 复制 到 128 号 扇 区 ,将 整个 硬盘 205062 号 扇 区 复制 到 
205056 B) X ,将 整个 硬盘 598399 号 扇 区 复制 到 389504 号 扇 区 ,将 整个 硬盘 809471 号 扇 区 
复制 到 598528 5K. 

(5) 修改 C 盘 .D 盘 \E 盘 和 下 盘 对 应 分 区 表 的 分 区 标志 。 

$: 在 建立 C 盘 ,D 盘 .E 盘 和 下 盘 分 区 时 系统 会 将 4 个 逻辑 盘 的 开始 扇 区 , 即 4 个 逻辑 
盘 的 DBR 填充 为 “00”"。 只 要 用 户 在 建立 4 个 逻辑 盘 的 分 区 时 不 进行 格式 化 操作 ,4 个 逻辑 盘 
其 他 扇 区 的 数据 仍然 完整 保存 。 

【操作 步骤 (三 )】 

步骤 1 一 步骤 9 与 【操作 步骤 (二 )] 中 的 步骤 1 一 步骤 9 相同 。 

步骤 10 使 用 计算 机 管理 功能 附加 abcd71. vhd 后 为 磁盘 1, 如 图 7.3 所 示 。 

步骤 11 将 光标 移动 到 磁盘 1 处 , 即 “399MB 未 分 配 ? 处 , 右 击 , 从 弹出 的 快捷 菜单 中 选择 
“新 建 简单 卷 (D...”, 出 现 “ 新 建 简单 卷 向 导 ” 第 1 个 窗口 , 单 击 * 下 一 步 (N) 二 ”按钮 。 

步骤 12 出 现 “ 新 建 简单 卷 向 导 ” 第 2 个 窗口 , 即 “指定 卷 大 小 ”, 在 “简单 卷 大 小 (MB) 
(S) :“” 布 侧 的 列表 框 中 输入 C 盘 容 量 , 即 *100”, 如 图 7.18 所 示 ; 单 击 * 下 一 步 (IN) 二 ”按钮 。 

步骤 13 出现“ 新 建 简单 卷 向 导 ” 第 3 个 窗口 , 即 “ 分 配 驱 动 器 号 和 路 径 ”, 单 击 “ 下 一 步 
CN) 二 ”按钮 ; 出 现 “新建 简单 卷 向 导 ” 第 4 个 窗口 . 即 “ 格 式 化 分 区 ”, 此 时 选择 “不 要 格式 化 这 
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个 疮 (D)" 选 项 ,如 图 7. 19 所 示 , 然 后 单 击 * 下 一 步 (N) 二 "按钮 。 


指定 过 大 小 
| 选择 介 于 最 大 和 最 小 值 的 佑 大 小 


最 大 磁盘 空间 量 B): 397 
最 小 详 盘 空间 量 m: a 


简单 卷 大 小 0) S) 


<t-5 Q) (F— 0 >J 


图 7.18 输入 C 盘 分 区 大 小 图 7.19 千 万 不 要 格式 化 C 盘 


步骤 14 出 现 “新 建 简单 卷 向 导 ” 第 5 个 窗口 , 即 “ 正 在 完成 新 建 简单 卷 向 导 ”, 此 时 单 击 
完成 ”按钮 ; 1 秒 钟 后 ,C 盘 所 对 应 的 MBR 分 区 表 已 建立 ,但 C 盘 的 开始 扇 区 ( 即 C 盘 的 
DBR) 已 被 “00? 填 充 。 

步骤 15 将 光标 移动 到 磁盘 1 处 , 即 *299MB 未 分 配 ? 处 , 右 击 , 从 弹出 的 快捷 菜单 中 选择 
“新 建 简单 卷 (DD..….”, 出 现 “ 新 建 简单 卷 向 导 ” 第 1 个 窗口 , 单 击 * 下 一 步 (N) 过 ”按钮 。 
步骤 16 建立 扩展 分 区 ; 重复 步骤 12 一 步骤 13, 注 : 在 出 现 “ 新 建 简单 卷 向 导 ” 第 2 个 窗 
, 即 “ 指 定 卷 大 小 ”, 在 “简单 卷 大 小 (MB)(S):” 右 侧 的 列表 框 中 输入 扩展 分 区 容量 , 即 
“297”; 青 次 温 吉 提 示 :“ 干 万 不 要 对 扩展 分 区 进行 格式 化 "操作 。 

说 明 : 在 Windows 7 下 ,只 有 将 整个 硬盘 0 号 扇 区 前 3 个 MBR 分 区 建立 完成 后 ,才能 建 
立 扩展 分 区 , 即 第 4 个 分 区 为 扩展 分 区 ,而 这 里 只 建立 了 2 个 分 区 ,所 以 第 2 个 分 区 不 是 扩展 
分 区 ; 需要 将 整个 硬盘 0 号 扇 区 第 2 个 分 区 标志 修改 为 扩展 分 区 标志 ,即将 分 区 标志 由 “06” 
修改 为 “0F” 或 “05”。 

步骤 17 将 光标 移动 到 “磁盘 1( 基 本 399MB) 联 机 ”处 , 右 击 ,从 弹出 的 快捷 菜单 中 选择 
“分 离 . VHD” 选 项 ,在 弹出 的 “分 离 虚拟 硬盘 ”窗口 中 , 单 击 “ 确 定 ” 按 钮 。 

步骤 18 启动 WinHex 软件 ,打开 abcd71. vhd 文件 并 映像 为 磁盘 。 

步骤 19 将 光标 移动 到 整个 硬盘 0 号 扇 区 ,将 扇 区 偏 移 0X01C2 处 分 区 标志 由 “06” 修 改 
为 “0B”, 即 第 1 个 分 区 文件 系统 为 FAT32; 将 扇 区 偏 移 0X01D2 处 分 区 标志 由 “06” 修 改 为 
“0F”, 即 第 2 个 分 区 为 扩展 分 区 ,如 图 7. 20 所 示 ,然后 存盘 退出 WinHex. 


Offset |0 1 2 3 4 5 6 7 8 9 AB C DE FZ 
00000180 65 6D 00 00 00 63 7B 9A 2E C9 9F SB BO 92[00 02] em...c(r.Ér[ 7 

000001c0 [o3 oofosjco 34 oc 80 oo 00 00 00 20 03 00foo co] ...A4 À 
00000100 7 
000001E0 


将 第 1 个 分 区 标志 TN “0B”, 第 2 个 分 区 标志 修改 为 "OF” 


7.20 将 修改 C 盘 分 区 表 和 扩展 分 区 表 标志 


步骤 20 ”使 用 计算 机 管理 功能 附加 abcd71. vhd 后 为 磁盘 1; 如 图 7. 21 所 示 , 从 图 7.21 
可 知 ,在 磁盘 1 中 有 两 分 区 即 H 盘 分 区 ( 注 : 磁盘 0 时 C 盘 分 区 ) 和 扩展 分 区 。 


aael 

基本 CH 

399 MB 100 MB RAW 297 MB 
联机 状态 良好 ( 主 分 区 ) 可 用 空间 


图 7.21 附加 abcd71. vhd 后 的 磁盘 
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步骤 21 将 光标 移动 到 磁盘 1 处 的 “297MB 可 用 空间 ”处 , 右 击 , 从 弹出 的 快捷 菜单 中 选 
择 “ 新 建 简单 卷 (DD)...”, 出 现 “ 新 建 简单 卷 向 导 ” 第 1 个 窗口 , 单 击 “ 下 一 步 (N) 二 ”按钮 。 

步骤 22 出 现 “ 新 建 简单 卷 向 导 ” 第 2 个 窗口 , 即 “指定 卷 大 小 ”, 在 “简单 卷 大 小 (MB) 
(S)” 布 侧 的 列表 框 中 输入 D 盘 容 量 , 即 “90”; 单 击 * 下 一 步 (N) 二” 按钮。 

步骤 23 出 现 “ 新 建 简单 卷 向 导 ” 第 3 个 窗口 , 即 * 分 配 驱 动 器 号 和 路 径 ”, 单 击 * 下 一 步 
个 卷 (D)" 选 项 ,然后 单 击 * 下 一 步 (D) > a 

步骤 24 出现 “新 建 简单 卷 向 导 ? 第 5 个 窗口 , 即 “ 正 在 完成 新 建 简单 卷 向 导 ”, 此 时 单 击 
“完成 ”按钮 ; 1 秒 后 ,D 盘 卷 所 对 应 的 分 区 表 已 建立 ,但 DD 盘 的 开始 扇 区 ( 注 : 磁盘 0 时 的 DD 盘 
DBR) 已 被 “00” 填 充 。 

步骤 25 重复 步骤 21 一 步骤 24 共计 两 次 ,在 “新 建 简单 卷 向 导 ? 第 2 个 窗口 的 “简单 卷 大 
小 (MB)(S)” 右 侧 的 列表 框 中 分 别 输入 EE 盘 和 下 盘 容 量 , 即 “102” 和 “103”。 

至 此 ,H 盘 、I 盘 .J AM K EGE: 对 应 磁盘 0 时 C 盘 ,D 盘 \E 盘 和 下 盘 ) 所 对 应 的 分 区 表 
已 建立 ,但 这 4 个 逻辑 盘 的 文件 系统 均 为 RAW, 如 图 7.22 所 示 ; 也 就 是 说 ,这 4 个 逻辑 盘 的 
开始 扇 区 ( 即 DBR) 已 被 “00? 填 充 ; 需要 通过 各 自 的 DBR 备份 来 恢复 。 


mus: [ [ 
基本 e 0) w) 

399 MB 90 MB RAW 102 MB RAW 103 MB RAW 
联机 状 坟 奥 好 EAEI “tt; (REED tu; GREED 


图 7.22 建立 4 个 分 区 后 的 磁盘 1 


步骤 26 将 光标 移动 到 “磁盘 1( 基 本 399MB) 联 机 ”处 , 右 击 ,从 弹出 的 快捷 菜单 中 选择 
“分 离 VHD” 选 项 ,在 弹出 的 “分 离 虚拟 硬盘 ”窗口 中 , 单 击 “ 确 定 ” 按 钮 。 

步骤 27 使 用 WinHex 软件 打开 abcd71. vhd 文件 并 映像 为 磁盘 。 

步骤 28 将 光标 移动 到 整个 硬盘 134 号 扇 区 ,并 选中 该 扇 区 , 单 击 “复制 ?按钮 。 

步骤 29 将 光标 移动 到 整个 硬盘 128 号 扇 区 开始 位 置 , 单 击 “ 粘 贴 ?按钮 ; 然后 存盘 ; 至 
此 ,C 盘 DBR 已 成 功 恢复 。 

步骤 30 重复 步骤 28 一 步骤 29 共计 3 次 ,即将 整个 硬盘 205062 号 扇 区 复制 到 205056 
FK: 将 整个 硬盘 598399 号 扇 区 复制 到 389504 号 扇 区 ; 将 整个 硬盘 809471 号 扇 区 复制 到 
598528 FK; 然后 存盘 。 

FEH ÆI AJEA K A DBR 已 通过 各 自 的 DBR 备份 成 功 恢复 。 

步骤 31 将 204928 号 扇 区 偏 移 0X01C2 处 的 分 区 标志 由 “06” 修 改 为 “0B”, 将 389376 号 
扇 区 偏 移 0X01C2 处 的 分 区 标志 由 “06” 修 改 为 *07”, 将 598400 号 扇 区 偏 移 0X01C2 处 的 分 区 
标志 由 “06” 修 改 为 “07”, 然 后 存盘 并 退出 WinHex, 
通过 计算 机 管理 中 的 磁盘 管理 功能 附加 abcd71. vhd 后 ,在 计算 机 管理 中 的 磁盘 管理 中 可 
以 看 到 4 个 逻辑 盘 盘 符 , 如 图 7.17 所 示 。 


7.1.4 恢复 误 Ghost 后 的 数据 


用 户 安 装 Windows 操作 系统 时 ,常常 会 使 用 Ghost 软件 。 但 由 于 用 户 操作 不 慎 , 在 选择 
目标 逻辑 盘 时 ,有 时 会 误 操作 为 “选择 整个 磁盘 ”; 从 而 导致 Windows 操作 系统 安装 完成 后 ， 
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整个 目标 硬盘 只 有 一 个 分 区 , 即 C 盘 分 区 ,C 盘 分 区 的 容量 是 整个 硬盘 的 容量 。 下 面 以 实例 的 
形式 介绍 误 Ghost 后 的 数据 恢复 。 

#J7.2 某 用 户 在 使 用 Ghost 软件 安装 操作 系统 前 ,原来 整个 硬盘 划分 为 C 盘 分 区 
(FAT32) 和 扩展 分 区 。 在 扩展 分 区 中 建立 了 3 个 逻辑 盘 , 即 D 盘 (NTFS)、E 盘 (CNTFS) 和 下 
(NTFS), HPEH Ghost 软件 安装 操作 系统 后 ,整个 硬盘 只 有 一 个 分 区 ,对 应 的 盘 符 为 
C; ,C 盘 的 总 容量 是 整个 硬盘 的 容量 ,文件 系统 为 FAT32, 即 系统 安装 完成 后 ,整个 硬盘 成 为 
一 个 大 C 盘 。 客 户 要 求 恢 复 Ghost W.D # E 盘 和 下 盘 中 的 数据 。 注 : 客户 使 用 的 Ghost 版 
本 号 为 8.0, 素 材 文件 名 为 abcd72. vhd。 

【分 析 】 一 般 情况 下 ,出 现 这 种 情况 主要 是 因为 用 户 在 使 用 Ghost 时 ,目标 盘 应 该 选择 C 
盘 , 而 用 户 却 选择 了 整个 硬盘 ,从 而 导致 Ghost 后 整个 硬盘 被 划分 为 一 个 分 区 ( 即 C 盘 分 区 )， 
即 Ghost 前 存储 在 硬盘 0 号 扇 区 的 C 盘 分 区 表 已 被 新 的 C 盘 分 区 表 所 取代 ,而 扩展 分 区 表 已 
被 删除 。 操 作 系 统 安装 完成 后 ,存储 在 原来 C 盘 中 的 部 分 或 者 全 部 数据 已 被 覆盖 , 而 原来 D 
盘 分 区 表 和 下 盘 链 接 项 .上 盘 分 区 表 和 下 盘 链接 项 上 盘 分 区 表 一 般 不 会 被 覆盖 。 因 此 ,只 要 
恢复 Ghost 前 硬盘 0 号 扇 区 的 C 盘 分 区 表 和 扩展 分 区 表 , 或 者 恢复 DD 盘 、E 盘 和 下 盘 在 整个 
硬盘 0 号 扇 区 的 分 区 表 ,就 可 以 恢复 D 盘 .上 盘 和 F 盘 中 存储 的 全 部 数据 。 

Ghost 前 ,各 逻辑 盘 在 整个 硬盘 中 分 布 情况 如 图 7. 23 所 示 ; 使 用 Ghost 安装 操作 系统 
后 ,各 逻辑 盘 在 整个 硬盘 中 分 布 情 况 如 图 7. 24 所 示 。 从 Ghost 前 、 后 整个 硬盘 变化 情况 可 知 ， 
整个 硬盘 0 号 扇 区 的 扩展 分 区 表 已 被 填充 为 00, 即 扩展 分 区 表 已 被 删除 ,C 盘 分 区 表 已 被 新 
的 C 盘 分 区 表 所 取代 ; 而 Ghost 前 ,D 盘 分 区 表 和 下 盘 链 接 项 FE 盘 分 区 表 和 下 盘 链 接 项 F 
盘 分 区 表 仍 然 完好 保存 。 但 是 由 于 扩展 分 区 表 已 经 不 存在 ,Ghost 前 D 盘 分 区 表 和 EE 盘 链接 
项 上 盘 分 区 表 和 下 盘 链接 项 下 盘 分 区 表 已 经 不 再 起 作用 ,如 图 7. 24 中 的 虚线 。 


i 1 masm) | 
j šE FRANT : 
引 m J f ch t| ml pa &# a| Ea Alal ra 
u kk] ean» [igl otsi i] t| ots É | U| TFS) 
= RR K 项 £ 项 表 
一 一 相同 时 区 一 CHDK = 扩展 分 区 _ 
1 
1 zs elos Ë 7 
dl HA) p |p AR| 保 | pa | 盘 盘 | s| ra npe 
š 8 留 | 的 区 域 Ë Ë 留 | (NTFS) ps: 留 | (NTFS) A 留 | (NTFS) 
* 表 项 表 项 i 
~k KCRA J 


7.24 Ghost 后 硬盘 布局 图 


下 面 分 别 介绍 两 种 数据 恢复 的 基本 思路 方法 和 步骤 。 
【数据 恢复 基本 思路 (一 )】 
(1) 恢复 Ghost 前 ,整个 硬盘 0 号 扇 区 的 C 盘 分 区 表 与 扩展 分 区 表 , 如 图 7. 23 所 示 。 
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(2) 修改 Ghost 后 C 盘 DBR 中 的 总 扇 区 数 。 

【数据 恢复 基本 方法 (一 )】 

(1) 将 要 恢复 数据 的 硬盘 作为 辅 盘 连 接 到 另 一 台 计算 机 上 , 即 磁盘 1。 

(2) 查找 原来 D 盘 分 区 表 和 下 盘 分 区 链接 项 所 在 扇 区 号 ,该 扇 区 号 为 扩展 分 区 开始 扇 
区 ,也 就 是 扩展 分 区 的 相对 扇 区 。 

(3) 由 于 Ghost 前,D 盘 \E 盘 和 下 盘 的 文件 系统 均 为 NTFS, 查 找 下 盘 NTFS_DBR 备份 
所 在 扇 区 号 ; F # NTFS_DBR 备份 所 在 扇 区 号 减 去 原来 D 盘 分 区 表 和 下 盘 链 接 项 所 在 扇 区 
号 ,再 加 1, 再 加 4096 ,可 以 得 到 扩展 分 区 的 总 扇 区 数 ( 注 : 在 Windows XP 系统 下 可 以 不 加 
4096), 

(4) 根据 扩展 分 区 相对 扇 区 和 扩展 分 区 总 扇 区 数 可 以 计算 出 扩展 分 区 表 。 

(5) 原来 D 盘 分 区 表 和 下 盘 链 接 项 所 在 扇 区 号 减 去 C 盘 的 相对 扇 区 可 以 得 到 Ghost 前 
的 C 盘 总 扇 区 数 。 

(6) 从 Ghost 前 C 盘 相 对 扇 区 和 总 扇 区 数 可 以 计算 出 Ghost 前 C 盘 的 分 区 表 。 

(7) 将 硬盘 0 号 扇 区 C 盘 分 区 表 修 改 为 Ghost 前 C 盘 分 区 表 , 将 扩展 分 区 表 填 人 到 硬盘 
0 号 扇 区 偏 移 0X01CE—0X01DD 处 。 

(8) 将 Ghost 后 C 盘 DBR 中 的 总 扇 区 数 修改 为 Ghost ñj C #: DBR 中 的 总 扇 区 数 。 

【操作 步骤 (一 )】 

步骤 1 启动 WinHex 软件 。 

步骤 2 打开 磁盘 1, 并 映像 为 磁盘 ( 注 : 由 于 这 里 使 用 的 是 虚拟 磁盘 ,使 用 菜单 栏 上 的 文 
件 打开 功能 打开 素材 文件 夹 中 的 abcd72. vhd 文件 ; 实际 工作 中 ,在 Windows XP 平台 下 ,使 
用 菜单 栏 上 的 工具 打开 磁盘 功能 ,在 "Edit Disk” 窗 口中 的 Physical Media 中 选择 磁盘 1); 如 
图 7.25 所 示 , 从 图 7.25 可 知 ,新 C 盘 分 区 表 的 相对 肩 区 为 128( 存 储 形式 为 “80 00 00 00”); 
总 扇 区 数 为 1017856( 存 储 形式 为 “00 88 OF 00”)。 


| oem ma | 


— 
新 C 盘 分 区 表 上 


[a [see created 
学 Parlton 1 FAT32 497 MB p 
CÌ Start sectors 640KB 
| Unparttionable space 3908 


Offset |0 1 2 3 4 567 89 ABC E Z É 
| 000001B0 65 6D 00 oo 00 63 7B 9A CB A2 D8 31 00 /@ [o 02 

000001c0 [03 oo[op[rFE 3F 3E[80 00 00 oo[oo 88 or oo|oo 00 
000001D0 |00 00 00 00 00 OO 00 00 00 00 00 00 00 00 00 00 
000001E0 oo OO OO OO . 
000001F0 00 OO 55 AA .. n 
=0 Block mai Sue: ma 


图 7.25 Ghost 后 整个 硬盘 0 号 扇 区 新 C 盘 的 分 区 表 


BRI 查找 Ghost 前 DD 盘 分 区 表 和 下 ARIE uc 
Jm 


AKI. The folovang hex values wil be searched: 
选择 菜单 栏 上 的 “搜索 一 查找 Hex 数值 (H)...”, 出 现 ESS 


回 Use as wadeard [于 | 


“Find Hex Values” 窗 口 ,在 “The following hex values will 
be searched:” 下 的 列表 框 中 输入 “55AA”; 在 “Search:” 右 
侧 的 下 拉 式 列表 框 中 选择 “Down”; 选择 “Cond:” 左 侧 的 复 
选 框 ,在 offset mod 右 侧 的 两 个 文本 框 中 分 别 输入 512 和 
510( 注 : 因为 55AA 位 于 扇 区 的 最 后 两 个 字 节 ) ,如 图 7. 26 
所 示 , 单 击 OK 按钮 ,在 整个 硬盘 的 0 号 扇 区 找到 。 L s a 
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步骤 4 按 F3 键 继续 向 下 查找 ,分 别 在 整个 硬盘 的 128、129、130、134、135、136、140、 
198784.198912.403711.403712.403840.711039.711040.711168 和 1014271 号 扇 区 找到 ,经 
确认 ,只 有 0.198784.403712 和 711040 号 扇 区 存储 有 分 区 表 , 而 0 号 扇 区 存储 的 是 Ghost 后 
C 盘 的 分 区 表 。 

将 光标 移动 到 198784 号 扇 区 ,如 图 7. 27 所 示 , 从 图 7. 27 可 知 ,198784 号 扇 区 存储 的 两 
个 分 区 表 分 别 是 Ghost 前 D 盘 分 区 表 和 下 盘 链 接 项 ; 由 此 可 以 推断 ,扩展 分 区 的 开始 扇 区 号 
为 198784; 所 以 ,Ghost 前 扩展 分 区 的 相对 扇 区 为 198784。 


(Wamaq | 


I Unparttionatie space 
State: originai | Offset 


PR o| 06110140 00 00 00 OO OO 00 OO OO 00 Q f 00 OO 00 00 00 
‘Undoreverses: ma| 061101BO ‘00 00 00 00 00 00 00 00 00Ld 00 00 00 EER 
Tota capaciy. so0MB | 061101D0 |09 19 05 42 16 2C 60 20 03 00 80 BO 04 oofo0 00 

524288.512bytes | 061101E0 [00 00 00 00 00 00 00 00 00 00 DO OO DO OO 00 00 


Bytes persedor_512 | 061101F0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA 
61101EF =0 Block 


图 7.27 198784 号 扇 区 存储 的 分 区 表 


将 光标 移动 到 403712 号 扇 区 ,如 图 7. 28 所 示 , 从 图 7. 28 可 知 ,403712 号 扇 区 存储 的 两 
个 分 区 表 分 别 是 Ghost 前 下 盘 分 区 表 和 下 盘 链 接 项 。 


1016064 
Offset 234567 

0csz0180 00 00 00 00 00 00 00 00 Z 00 00 00 OO 00 00[23 
ocs201c0 [OB 19 07 42 16 2C 80 00 00 00 00 BO 04 00 00|42 
oc5201D0 |17 zc 05 FE 3F 3E 00 D1 07 00 60 AO 04 00 00j60 
ocs201£0 [00 00 OO DO OO OO OO OO 00 OO 00 OO 00 00 00 00 
0C5201F0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA 

520180. =0 Block 


图 7.28 403712 号 扇 区 存储 的 分 区 表 


将 光标 移动 到 711040 号 扇 区 ,如 图 7. 29 所 示 , 从 图 7. 29 可 知 ,711040 号 扇 区 存储 的 分 
KRE Ghost 前 下 盘 分 区 表 。 


15530180 
158301c0 
15830100 |00 00 00 00 00 00 OO 00 00 00 00 00 00 00 00 00 


Supis secors atenga37 | 155301E0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 DO 
15B301F0 |00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AÀ ... 


one cs2oieo 20 Block 


图 7.29 711040 号 扇 区 存储 的 分 区 表 


将 光标 移动 到 1014271 号 扇 区 ,如 图 7. 30 所 示 。 经 分 析 ,1014271 号 扇 区 为 Ghost 前 F 
盘 DBR 备份 所 在 扇 区 号 ( 注 : Ghost 前 下 盘 的 文件 系统 为 NTFS) 。 

步骤 5 由 于 Ghost 前 D 盘 分 区 表 和 下 盘 链接 项 所 在 扇 区 号 为 198784, 而 F 盘 DBR 备 
份 所 在 扇 区 号 为 1014271 。 
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[sbedr2 wh) | 


Partnoning sye MBR 2 Wes. 1 parions 
Name + En Teroarea Tam Ist secor 
E Pannon T FAT32 497MB 128 
I Stan sectors 540KB ° 
Unpanmonaole space 39uB 1016064 
Offset | 0 1 2 3 4 S 6 7 8 9 A B C D E FZ 


Wal apg sasi was | 1EF3FEDO EB 52 90 4E 54 46 53 20 20 20 20 00 02 08 00 OD eR.NTFS 


Bres s2 1EF3FE10 00 00 00 00 00 F8 00 00 3F 00 FF 00 80 00 00 OO ..... 
es Peredor east2 | 1EF3FE20 oo OD OG 00 80 DQ GO OO FF SF 04 OO 00 00 00 OO 
1EF3FE30 55 31 00 00 OO DO OO 00 02 00 DO 00 00 00 00 00 


1EF3FE40 |F6 00 00 00 01 00 00 00 23 7C AF 52 A4 AF 52 A2 
1EF3FE50 | 00 00 00 00 FA 33 CO BE DO BC 00 7C FB 68 CO 07 


Parton 1 
Relative sector No1014143 


7.30 1014271 号 扇 区 存储 原来 F 盘 DBR 的 备份 
扩展 分 区 表 总 扁 区 数 二 下 盘 DBR 备份 所 在 扇 区 号 一 


D 盘 分 区 表 和 下 盘 链接 项 所 在 扇 区 号 十 1 十 4096 
一 1014271 一 198784 十 1 十 4096 
= 819584 (l 0X000C8180 ,存储 形式 为 80 81 0C 00) 
于 Ghost ñf D 盘 分 区 表 和 下 盘 链 接 项 所 在 扇 区 号 为 198784, 所 以 ,扩展 分 区 的 相对 扇 
区 为 198784( 即 0X00030880 ,存储 形式 为 80 08 03 00) 。 
因此 ,扩展 分 区 表 为 “00 00 00 00 OF FE FF FF 80 08 03 00 80 81 0C 00”, 
Œ: 00 00 00 和 FE FF FF 也 可 以 为 任意 数据 ,“0F” 为 分 区 标志 , 即 扩展 分 区 。 
步骤 6 JA 198784 SIAK D 盘 分 区 表 可 知 ,D 盘 的 相对 扇 区 为 128( 即 0X80, 存 储 形式 为 80 
00 00 00); 由 此 可 以 推断 ,Ghost ñf C 盘 的 相 扇 区 也 为 128, 即 Ghost 前 C 盘 的 开始 扇 区 号 ; 
于 D 盘 分 区 表 和 下 盘 链 接 项 所 在 扇 区 号 为 198784, 可 以 推断 ,Ghost 前 C 盘 的 结束 扇 
区 号 为 198783。 
Ghost 前 C 盘 总 扇 区 数 = C 盘 结 束 扇 区 号 — C 盘 开始 扇 区 号 十 1 
一 198783 一 128 十 1 
= 198656 (E 0X00030800 ,存储 形式 为 00 08 03 00) 
因此 ,Ghost 前 C 盘 分 区 表 为 “00 00 00 00 0C FE FF FF 80 00 00 00 00 08 03 00” 
步骤 7 综合 步骤 5 和 步骤 6, Ghost 前 ,存储 在 整个 硬盘 0 号 扇 区 偏 移 0X01BE ~ 
0X01DD 处 的 C 盘 分 区 表 和 扩展 分 区 表 , 见 表 7. 9 所 列 。 


表 7.9 Ghost 前 ,C 盘 分 区 表 和 扩展 分 区 表 


分 区 表 存储 扇 区 号 AKNE 分 区 表 ( 存 储 形 式 ) 
C 盘 分 区 0 01BE—01CD 00 00 00 00 0C FE FF FF 80 00 00 00 00 08 03 00 
扩展 分 区 0 01CE—01DD 00 00 00 00 0F FE FF FF 80 08 03 00 80 81 0C 00 


步骤 8 将 整个 硬盘 0 号 扇 区 以 文件 的 形式 存储 ,存储 位 置 和 文件 名 自 定 ,将 表 7.9 中 C 
盘 分 区 表 和 扩展 分 区 表 填 人 到 整个 硬盘 0 号 扇 区 偏 移 0XOIBE 一 0X01DD 处 ,如 图 7. 31 所 示 ， 
然后 存盘 。 

步骤 9 将 光标 移动 到 整个 硬盘 128 Z B X ,将 128 号 扇 区 以 文件 的 形式 存储 ,存储 位 置 
和 文件 名 自 定 。 将 C 盘 总 扇 区 数 由 “00 88 oF 00 修改 为 “00 08 03 00”, 如 图 7. 32 所 示 ,然后 
存盘 并 退出 WinHex。 

步骤 10 使 用 计算 机 管理 功能 中 的 磁盘 管理 ,附加 abcd72. vhd 后 形成 磁盘 1, 如 图 7. 33 
所 示 ; 在 资源 管理 器 中 可 以 看 到 ] 盘 、K 盘 、I 盘 ( 即 磁盘 0 时 的 了 D 盘 \.E 盘 和 下 盘 ) 和 日 盘 ( 即 
Ghost 后 的 C 盘 ) 中 的 全 部 文件 和 文件 夹 。 
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| err a | 


Ist seor ~ 
497 uB 128 
640KB ° 
3988. 1016064 
Offset | 0 1 2 3 4 S 6 7 8 9 A B C D E FZ 
000001A0 
00000180 
000001c0 
000001D0 [00 oo oF FE FF FF 80 08 03 00 80 81 oc 00f00 00 
000001E0 | 00 00 OO 00 00 00 00 00 OO 00 00 00 00 00 00 00 
000001F0 |00 00 00 00 00 00 OO 00 00 00 00 00 00 OO 55 AA . 
1CF| =0 Block 


NTFS 

NTFS 

Offset e 9 AB CODE T F| Z| 

00010000 2E 30 00 02 08 4A 18 ëX.MSD0S5. 
00010010 a 00 FF 00 80 00 00 00 

00010020 00 00 00 02 00 00 00 

00010030 01 00 06 OD OO 00 00 00 00 00 00 00 00 00 00 

00010040 80 00 29 C7 94 EO AE 4E 20 4E 41 4D 45 20 20 

00010050 20 20 46 41 54 33 32 20 20 33 C9 BE D1 BC F4  FAT32  3ÉiÑwe ~ 
— s 


a | Size: 


XH BEV Wel) 
名 中 | 力 回 | 日 团 | 台 


39MB 39M8 


97 MB FAT32 100MB NTFS |150 MB NTFS 148 MB NTFS 
状 志良 好 ( 主 分 区 ) | 状 志良 好 GEA REF PAEDR |HENF (ERED 


N 未 分 配 图 主 分 区 H 扩展 分 区 H 可 用 空间 G pus 


图 7.33 使 用 计算 机 管理 附加 abcd72. vhd 后 
【数据 恢复 基本 思路 (二 )】 
(1) 由 于 Ghost 前 整个 硬盘 被 划分 为 4 个 逻辑 盘 , 可 以 只 恢复 4 个 逻辑 盘 在 整个 硬盘 0 


号 扇 区 所 对 应 的 4 个 分 区 表 , 如 图 7. 34 中 实 线 箭 头 ; 而 虚线 箭头 为 Ghost 后 原来 分 区 表 结 
构 , 由 于 扩展 分 区 表 已 不 存在 ,所 以 ,这 3 个 分 区 表 和 2 个 链接 项 已 不 再 起 作用 。 


| | 


| 一 
| 一 一 


Jañaa T T i 

Š y|! C 省 | 保 | Dë 保 | Em 保 | Fa 
东信 全 全 食 M| (FAT32) |Ë Ë TFS) |Ë Ë H | NTFS) | Ë (NTFS) 
录 表 表 表 表 表 项 表 项 表 


pe | 


图 7.34 恢复 4 个 逻辑 盘 在 整个 硬盘 0 号 扇 区 的 分 区 表 
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(2) 将 C 盘 DBR 中 的 总 扇 区 数 修改 为 Ghost Ñi C Æ DBR 中 的 总 扇 区 数 。 

【数据 恢复 方法 (二 )】 

(1) 将 要 恢复 数据 的 硬盘 作为 辅 盘 连 接 到 另 一 台 计算 机 上 , 即 磁盘 1。 

(2) 查找 并 记录 下 Ghost 前 DD 盘 \EE 盘 和 下 盘 NTFS_DBR 在 整个 硬盘 中 的 扇 区 号 ,该 扇 
区 号 为 Ghost 前 D 盘 .上 盘 和 F 盘 在 整个 硬盘 0 号 扇 区 分 区 表 中 的 相对 扇 区 。 

(3) 从 Ghost 前 D 盘 上 E 盘 和 F 盘 NTFS_DBR 得 到 D 盘 上 盘 和 F 盘 的 总 扇 区 数 。 

(4) 从 Ghost 前 D 盘 `E 盘 和 F 盘 相对 扇 区 和 总 扇 区 数 计算 出 D 盘 `E 盘 和 F 盘 在 整个 
硬盘 0 号 扇 区 的 分 区 表 。 

(5) 从 Ghost Ñf D Æ NTFS_DBR 所 在 扇 区 号 ,推算 出 Ghost 前 C 盘 的 结束 扇 区 号 ,从 
Ghost 后 C 盘 DBR 所 在 扇 区 号 得 到 C 盘 的 开始 扇 区 号 ( 即 分 区 表 中 的 相对 扇 区 ) ,从 而 计算 出 
Ghost 前 C 盘 分 区 表 中 的 总 扇 区 数 ; 最 后 计算 出 Ghost 前 C 盘 在 整个 硬盘 0 号 扇 区 的 分 

(6) 将 Ghost ñf D #: E ÆA F # BJ KRAE 58 4° BE gg BJ 0 号 扇 区 偏 移 0X01CE— 
0X01FD 处 。 

(7) 修改 整个 硬盘 的 0 号 扇 区 偏 移 0X01BE—0X01CD 处 的 C 盘 分 区 表 。 

(8) 将 C 盘 FAT32_DBR 中 总 扇 区 数 修改 为 Ghost ñf C $Æ FAT32_DBR 中 总 扇 区 数 。 

【操作 步骤 (二 )】 

步骤 1 和 步骤 2 与 【操作 步骤 (一 )] 中 步骤 1 和 步骤 2 相同 。 

步骤 3 查找 Ghost 前 了 DD 盘 .E 盘 和 下 盘 NTFS_DBR 所 在 扇 区 号 。 

选择 菜单 栏 上 的 “搜索 一 查找 文本 (T).……”, 出 现 *“Find Text” 窗 
,在 “The following text string will be searched” 下 的 列表 框 中 输 


A“NTFS”; 在 “Match case” 下 的 列表 框 中 选择 “ASCII/Code - 
page”; 在 “Search:” 右 侧 的 下 拉 式 列表 框 中 选择 “Down”; 选择 


luse e ar a widcaq] [7 | 
tds only 


Cond: 左 侧 的 复 选 框 ,在 “offset mod” AWA ARE PaA 512 
和 3( 注 :“NTFS" 位 于 扇 区 偏 移 3 一 6 处 ), 如 图 7.35 所 示 , 单 击 | < 
“OK” 按 钮 ,在 整个 硬盘 的 198912 号 扇 区 找到 。 ee 

步骤 4 按 F3 键 继续 向 下 查找 ,分 别 在 整个 硬盘 的 403711、 | 人 ee ee 
403840、711039、711168 和 1014271 号 扇 区 找到 。 经 确认 ,403711 
号 扇 区 为 198912 号 扇 区 的 备份 ,711039 号 扇 区 为 403840 号 扇 区 的 图 7.35 查找 NTFS_DBR 
备份 ,1014271 号 扇 区 为 711168 号 扇 区 的 备份 。 

步骤 5 将 光标 移动 到 198912 号 扇 区 , 即 Ghost ñj D # NTFS_DBR 所 在 扇 区 号 ;如 
图 7. 36 所 示 , 从 图 7. 36 可 知 ,Ghost 前 D 盘 总 扇 区 数 为 204799 。 


Partitioning site MBR 2fles, 1 partitions 


06120000 En 
06120010 00 00 00 OU Do 
06120020 a 
06120030 55 21 00 00 00 00 00 00 02 OO 00 OO OO OO OO OO vu 
06120040 F6 00 00 00 01 00 00 00 38 90 9C B6 A8 9C B6 10 4. 
06120050 00 00 00 00 FA 33 CO 8E DO BC 00 7C FB 68 CO 07 | ....i3ADY.|ihA.™ 
ma) Sze: na 


图 7.36 原来 D 盘 NTFS_DBR 
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同样 的 操作 ,将 光标 移动 到 403840 号 扇 区 , 即 Ghost ñf E Æ NTFS_DBR 所 在 扇 区 号 ; 从 
Ghost B E Æ NTFS_DBR 可 知 .Ghost 前 下 盘 总 扇 区 数 为 307199 。 
将 光标 移动 到 711168 号 扇 区 , 即 Ghost ñf F 盘 NTFS_DBR 所 在 扇 区 号 ; 从 Ghost 前 下 
盘 NTFS_DBR 可 知 ,Ghost B F 盘 总 扇 区 数 为 303103 。 
步骤 6 由 于 Ghost 前 D 盘 NTFS_DBR 所 在 扇 区 号 为 198912, 从 D 盘 的 DBR 可 知 ,D 
盘 的 隐藏 扇 区 数 为 128 ,由 此 可 以 推断 D 盘 分 区 表 和 下 盘 链 接 项 所 在 扇 区 为 198784。 所 以 ， 
Ghost 前 C 盘 结 束 扇 区 号 为 198783。 将 光标 移动 到 0 号 鹿 区 ,从 0 号 扇 区 的 分 区 表 可 知 ， 
Ghost 前 C 盘 分 区 表 的 相对 扇 区 为 128( 即 Ghost 前 C 盘 的 开始 扇 区 号 ) 。 所 以 
Ghost 前 C 盘 的 总 扇 区 数 = Ghost 前 C 盘 的 结束 扇 区 号 一 Ghost 前 C 盘 的 开始 扇 区 号 十 1 
= 198783 一 128 十 1 
= 198656 
步骤 7 综合 步骤 5 和 步骤 6,Ghost 前 ,各 逻辑 盘 的 基本 情况 见 表 7.10 所 列 。 


表 7.10 Ghost 前 ,各 逻辑 盘 的 基本 情况 表 


分 区 文件 系统 DBR 所 在 扇 区 号 DBR 备份 所 在 扇 区 号 总 扇 区 数 
第 1 个 (C #) FAT32 128 134 198656 
第 2 个 (D 盘 ) NTFS 198912 403711 204799 
第 3 个 (E 盘 ) NTFS 403840 711039 307199 
第 4 个 (F 盘 ) NTFS 711168 1014271 303103 


步骤 8 Ghost 前 ,4 个 逻辑 盘 分 区 表 在 硬盘 0 号 扇 区 的 基本 情况 见 表 7. 11 所 列 ; 注 : 
NTFS 文件 系统 中 ,分 区 表 中 存储 的 总 扇 区 数 要 比 DBR 中 存储 的 总 扇 区 数 多 1 个 扇 区 。 


表 7.11 Ghost 前 ,各 逻辑 盘 分 区 的 基本 情况 表 


分 区 文件 相对 扇 区 总 扇 区 数 
系统 十 进 制 | 十 六 进 制 | ”存储 形式 十 进 制 | 十 六 进 制 | ”存储 形式 
第 1 个 FAT32 128 80 80 00 00 00 198656 30800 00 08 03 00 
第 2 个 NTFS 198912 30900 00 09 03 00 204800 32000 00 20 03 00 
第 3 个 NTFS 403840 62980 80 29 06 00 307200 4B000 00 B0 04 00 
第 4 个 NTFS 711168 ADA00 00 DA 0A 00 303104 4A000 00 A0 04 00 


步骤 9 根据 表 7.11, 可 以 计算 出 4 个 分 区 表 在 整个 硬盘 0 号 扇 区 0X01BE—0X01FD 的 
存储 形式 , 见 表 7. 12 所 列 。 


表 7.12 Ghost 前 ,整个 硬盘 0 号 扇 区 偏 移 0X01BE—0X01FD 处 4 个 分 区 表 的 存储 形式 
Á% ”开始 地 址 ”分 区 ”结束 地 址 


分 区 表 扇 区 偏 移 标志 “(未 定义 ) FE 《未 定义 ) 相对 扇 区 总 扇 区 数 

第 1 个 0lBE~01CD 00 00 00 00 0B FE FF FF 80 00 00 00 00 08 03 00 
第 2 个 O01CE~01DD 00 00 00 00 07 FE FF FF 00 09 03 00 00 20 03 00 
第 3 个 O01lDE~01ED 00 00 00 00 07 FE FF FF 80 29 06 00 00 Bo 04 00 
第 4 个 OlEE~01FD 00 00 00 00 07 FEFFFF 00DA0A00 00Ao0400 


XJK 7.12 作 如 下 说 明 : 
(1) 由 于 这 4 分 区 表 都 不 引导 操作 系统 , 自 举 标志 均 为 *00”。 
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(2) 第 1 个 分 区 的 文件 系统 为 FAT32, 从 表 4.1 可 知 ,分 区 标志 为 “0B”; 而 后 3 个 分 区 的 
文件 系统 为 NTFS, 从 表 4.1 可 知 ,分 区 标志 为 “07”。 

(3) 由 于 存储 方式 为 LBA ,开始 地 址 和 结束 地 址 均 未 定义 ,这 4 个 分 区 的 开始 地 址 填充 为 
“00 00 00”, 而 结束 地 址 则 填充 为 “FE FF FF”, 当 然 也 可 以 填充 其 他 值 。 

步骤 10 将 整个 硬盘 0 号 扇 区 以 文件 的 形式 保存 ,存储 位 置 和 文件 名 自 定 , 将 这 4 个 分 
区 表 填 人 到 整个 硬盘 0 号 扇 区 偏 移 0XO1BE 一 0XO1FD 处 ,如 图 7. 37 所 示 ,然后 存盘 。 


Parn MER 


lea Isa 将 计算 好 的 4 个 分 区 表 填 入 至 0 号 启 区 0X01BE~0X01FD 处 ] 


— Pannon 1 FAT32 497 MB 


“J Stan sectors asa: 

了 unpanaonaole space 

e o EME, 8 9 A B C p E FZ 
524288.512 byles | 00000180 


mw | 000001C0 
Sulus sectors atenas | 00000100 


yy | 
000001E0 ..| 

Partition, <t | 000001F0 +byy.O.... . 

omset TEF, E na| Size: n 


7.37 将 计算 好 的 4 个 分 区 表 填 人 到 硬盘 0 号 扇 区 偏 移 0X01BE—0X01FD 处 


步骤 11 将 光标 移动 到 整个 硬盘 128 号 扇 区 处 ,将 该 扇 区 以 文件 的 形式 存储 ,存储 位 置 
和 文件 名 自 定 。 将 128 号 扇 区 中 总 扇 区 数 修改 为 198656。 如 图 7. 38 所 示 , 然 后 存盘 退出 
WinHex。 


将 128 号 扇 区 中 总 扇 区 数 00 88 OF 00 修 改 为 00 08 03 00， 即 198656 
的 存储 形式 
00010000 EB Y 4F 53 35 2E 30 00 02 08 4A 18 ëX.MSI 

Default Edit Mode 00010010 02 00 oo F8 00 00 3F 00 FF 00 80 00 00 OO .. 
State: original | 00010020 [00 08 03 00|DB 03 00 00 00 00 00 00 02 00 00 00 I. 
Undo level: o| 00010030 01 00 06 00 00 00 00 00 00 00 00 00 00 00 00 00 .. . 
Undo reverses: ma | 00010040 80 00 29 C7 94 EO AE 4E 4F 20 4E 41 4D 45 20 20 1.)CIaGNO NAME ~ 
Offset = 3 


1001F 0_ Block 1CA-1CC | a 
7.38 将 128 号 扇 区 DBR 中 的 总 扇 区 数 修改 为 198656 


步骤 12 使 用 计算 机 管理 功能 中 的 磁盘 管理 ,附加 abcd72. vhd 后 形成 磁盘 1, 如 图 7.39 
所 示 。 在 资源 管理 器 中 可 以 看 到 ] 盘 、K 盘 、I 盘 ( 即 磁盘 0 时 的 了 D 盘 .EE 盘 和 下 盘 ) 和 HH 盘 ( 即 
Ghost 后 的 C 盘 ) 中 的 全 部 文件 和 文件 夹 。 注 : 由 于 DBR 中 隐藏 扇 区 数 的 正确 性 系统 不 作 校 
验 ; 所 以 ,I 盘 J AA K # DBR 中 的 隐藏 扇 区 数 未 作 修改 。 


IDia2zabcd72wd 


00S5.0， 
e..? 


ajni i 
ZUD RA EEV FDH 
++ 20108 
W.-T-— -|e 布局 | 类 型 | 文 -| 状态 =a |sməm |% 可 用 | 容错 | 开 ] “~ 
> E maenas me Ef ”状态 好 (OEM 39MB 39MB 10% Æ 0- ~ 
m 共 享 文件 夫 z 
G 本 地 用 广 和 组 S ge 
Ore zt H) 四 09 四 目 
acesa 499 MB 97 MB FAT32 | 100 MB NTFS |150 MB NTFS || 148 MB NTFS 
mz REAS sess BIAR BE 
aama ES®) E28) E29 仁 分 区 ) 
DESIRE? [B42 N 主 分 区 H rm H 可 用 裤 间 HN mesos 


图 7.39 附加 abcd72. vhd 后 ,在 磁盘 管理 中 看 到 磁盘 1 中 的 盘 符 


【经 验 总 结 】 

作者 做 了 大 量 的 实验 ,发 现在 使 用 Ghost8. 0 以 后 的 版 本 安装 操作 系统 时 ,如 果 目 标 盘 选 
择 了 整个 硬盘 ,安装 操作 系统 后 ,存储 在 硬盘 0 号 扇 区 的 分 区 表 已 经 被 破坏 ,即将 Ghost 前 的 
C 盘 重 新 分 区 ,分 区 大 小 为 整个 硬盘 ,将 扩展 分 区 表 填 充 为 00; Ghost 前 C 盘 所 在 区 域 的 部 分 


第 7 章 数据 恢复 分 


或 者 全 部 数据 已 被 覆盖 ,而 原来 D AE 盘 和 下 盘 的 数据 仍然 保留 ,但 是 D 盘 链 接 项 .上 盘 链 
接 项 \F 盘 链接 项 已 被 填充 为 “00”。 因 此 ,如 果 要 恢复 的 分 区 数量 小 于 3 个 ,建议 使 用 第 二 种 


恢复 思路 、 方 法 和 步 又 。 


如 果 要 恢复 的 分 区 大 于 4 个 ,也 可 以 使 用 第 一 种 恢复 思路 ,方法 和 步骤 ,但 该 方法 除 要 恢 
复 硬盘 0 号 扇 区 Ghost 前 C 盘 分 区 表 和 扩展 分 区 表 , 还 要 恢复 D 盘 链 接 项 \E 盘 链 接 项 \F 盘 


链接 项 等 。 


读者 也 可 以 参照 7. 1. 3 节 [ 数 据 恢复 基本 思路 方法 和 操作 步骤 (三 )] 的 方式 进行 恢复 。 


由 于 篇 幅 限 制 , 该 方法 请 读者 自行 实践 。 


7.1.5 恢复 硬盘 GPT 分 区 


4.3 节 中 对 GPT 分 区 进行 了 介绍 ,本 节 以 实例 的 形式 介绍 恢复 GPT 分 区 表 的 基本 思路 、 


方法 与 步骤 。 


例 7.3 某 用 户 将 硬盘 转换 成 GPT 磁盘 ,并 建立 了 4 个 分 区 ,4 个 分 区 文件 系统 均 为 
NTFS, 由 于 用 户 操作 不 慎 , 将 4 个 分 区 删除 ,要 求 恢复 4 个 分 区 中 的 全 部 数据 ( 注 : 素材 文件 


名 为 abcd73. vhd) 。 
【恢复 GPT 分 区 基本 思路 】 


(1) GPT 分 区 被 删除 后 ,可 以 采用 重新 建立 GPT 分 区 的 方式 来 恢复 ,但 是 需要 知道 GPT 


分 区 对 应 逻辑 盘 的 容量 。 


(2) 重建 GPT 分 区 后 ,系统 会 将 GPT 分 区 的 开始 扇 区 ( 即 对 应 逻辑 盘 的 DBR) 用 “00” 填 


充 ,可 以 通过 DBR 备份 来 恢复 。 
【恢复 GPT 分 区 基本 方法 】 


(1) 通过 NTFS_DBR 的 特征 值 找到 NTFS_DBR 和 NTFS_DBR 备份 所 在 扇 区 号 。 
(2) 通过 每 个 NTFS_DBR 所 在 扇 区 号 和 NTFS_DBR 备份 所 在 扇 区 号 ,分别 计算 4 4-2 


辑 盘 的 容量 。 


G) 重建 GPT 分 区 时 ,分别 输 入 4 个 逻辑 盘 的 容量 ; 温馨 提示 :“ 千 万 不 要 对 逻辑 盘 进 行 


RL RIE. 


(4) 通过 4 个 逻辑 盘 的 NTFS_DBR 备份 依次 恢复 4 个 逻辑 盘 的 NTFS_DBR. 


【恢复 GPT 分 区 操作 步骤 】 
步骤 1 启动 WinHex 软件 。 
步骤 2 打开 abcd73. vhd。 


操作 方式 :“ 文 件 一 打开 ”一 “选择 abcd73. vhd 文件 ”“ 专 家 一 映像 文件 为 磁盘 ”一 “选择 
整个 硬盘 的 0 号 扇 区 ”,0 号 扇 区 最 后 80 字 节 和 1 号 扇 区 前 64 字 节 的 值 如 图 7. 40 所 示 。 


[sbedr3.vha] 

Parttioning style. GPT 

[ea [sze Tc% 
170KB 


r 


保护 的 MBR 分 区 表 


Ëeons 


GPT 头 


Offset | 0 1 2 5 6 7 


8a9aABcDEEF/J 
B8 A4 FF C7 00 00 
00 O00 FF FF FF FE|007 


IDAa2244bcd73 nd] 

00000160 00 00 00 00 Obj00 00 00 
Detaut EditMode 000001c0 [02 00 EE FF FF FF 01 00 
State: 00000100 (00 00 00 00 00 00 00 OO 
Undo levet: o| oo0001E£0 oo OO 00 OO OO OO OO 00 
Undo reverses: ma | o00001F0 |00 OO OO OO OO OO OO 00 

00000200 45 46 49 20 50 41 52 54 
oas i 00000210 C1 BD FB DE 00 00 00 00 


ocs 
1.048.576.512 bytes 


00000220 FF 3F 1F 00 00 00 00 00 


00 00 00 00 OO 00 00/ 
oo oo oo oo oo oo ooo 
oo oo oo 00 OO oo fŠ AA .. 
00 00 01 00 5C 00700 OO EF; 
01 00 OO OD OO OQ OO 00 ÁM 
22 00 00 00 00 00 00 00 y? 
31 9D AD 6F A3 92 51 47 P? 


Bytes per secior 512 | 00000230 DE 3F 1F 00 00 00 00 00 
Surplus sectors at end7937 | , 
kerer] Onset 10F| 


=0| Block 


ma Size: 


图 7.40 GPT 磁盘 的 0 SAKA 1 号 扇 区 部 分 值 
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步骤 3 查找 4 个 NTFS_DBR 及 其 NTFS_DBR 备份 在 整 
个 硬盘 中 的 扇 区 号 。 

选择 菜单 栏 上 的 “搜索 ”一 “查找 Hex 数值 (CH).…”, 出 现 
“Find Hex Values” 窗 口 ,在 “The following hex values will be 
searched: ”列表 框 中 输入 “EB5290”; 在 “Search: ”下 拉 框 中 选择 加 
“Down”; 选择 “Cond: ” 左 侧 的 复 选 框 ; 在 “offset mod” 右 侧 的 两 | QU wes | 
个 文本 框 中 分 别 输入 “512” 和 “0” 如 图 7. 41 所 示 ; AOK” Bree | | | 
按钮 。 

步骤 4 在 65664 号 扇 区 找到 第 1 个 NTFS_DBR , 按 “F3? 键 
继续 向 下 查找 ,分 别 在 680063.680064.987263.987264.1396863. 
1396864 和 2044031 号 扇 区 找到 。 

步骤 5 经 确认 ,4 个 NTFS_DBR 和 NTFS_DBR 备份 所 在 扇 区 号 见 表 7. 13 所 列 ,退出 


图 7.41 查找 NTFS_DBR 


WinHex。 
表 7.13 4 个 NTFS_DBR 及 NTFS_DBR 备份 所 在 扇 区 号 
w NTFS_DBR NTFS_DBR 备份 各 逻辑 盘 各 逻辑 盘 容 量 
所 在 扇 区 号 所 在 扇 区 号 所 占 扇 区 数 (单位 : MB) 
第 1 个 65664 680063 614400 300 
第 2 个 680064 987263 307200 150 
第 3 个 987264 1396863 409600 200 
第 4 个 1396864 2044031 647168 316 


步骤 6 启动 计算 机 管理 ,选择 “磁盘 管理 >“ 操作 (A)” 一 “附加 VHD” 王 出 现 “ 附 加 虚拟 
硬盘 ?窗口 , 单 击 “ 浏 览 (B)... ”按钮 ,选择 “abcd73. vhd” 文 件 , 单 击 “ 确 定 ” 按 钮 。 将 abcd73. vhd 
文件 附加 成 虚拟 硬盘 1, 如 图 7. 42 所 示 。 


HD SFA EV HAH 
* =! 20108 


ILEA 8 主 分 区 B 扩展 分 区 B 可 用 宇 间 E zs 


图 7.42 附加 abcd73. vhd 为 虚拟 硬盘 


步骤 7 将 光标 移动 到 磁盘 1 的 “968MB 未 分 配 ? 处 , 右 击 ,从 弹出 的 快捷 菜单 中 选择 “新 
建 简单 卷 (D...”; 出 现 “ 新 建 简单 卷 向 导 ” 第 1 个 窗口 , 单 击 “ 下 一 步 ” 按 钮 。 

步骤 8 ” 出现“ 新建 简单 卷 向 导 " 第 2 个 窗口 _ 指 定 卷 大 小 ,在 “简单 卷 大 小 (MB)(S):” 布 
侧 的 列表 框 中 输入 第 1 个 逻辑 盘 的 大 小 “300”, 如 图 7.43 所 示 , 单 击 “下 一 步 "按钮 。 

步骤 9 出 现 * 新 建 简单 卷 向 导 ? 第 3 个 窗口 _ 分 配 驱 动 器 号 和 路 径 ,此 时 选择 “分 配 以 下 
驱动 器 号 (A)”, 假 设 驱动 器 为 H; 如 图 7. 44 所 示 , 单 击 “ 下 一 步 ” 按 钮 。 
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| week s= 
| 选择 介 于 最 大 和 地 小 值 的 艺 大 小 * l TEET 
ATEFHI PURRE AEE S REE 
BAB 5)。 o C TINE s=) 
SETAR): a ORAUTFEA mrs 文件 夹 中 国 ; 
aero: o [ — JI[IS8@...J 
OT5BBEBDESESGEDEEfE Q) 
CE-5V EEn) ( ma j CE-50 Em) [ mA 
图 7.43 输入 第 1 个 NTFS 大 小 300MB 7.44 分 配 驱动 器 号 和 路 径 


步 对 10 出现“ 新 建 简单 卷 向 导 " 第 4 个 窗口 _ 格 式 化 分 区 ,此 时 选择 * 不 要 格式 化 这 个 郑 
(D)" 选 项 ; 如 图 7. 45 所 示 , 温 馨 提示 :“ 千 万 不 要 格式 化 这 个 卷 ", 单 击 * 下 一 步 " 按 乌 。 

步骤 11 出现“ 新 建 简单 卷 向 导 "第 5 个 窗口 _ 正 在 完成 新 建 简单 卷 向 导 。 如 图 7. 46 所 
示 , 单 击 "完成 "按钮 。 


格式 化 分 区 
要 在 这 个 磁盘 分 区 上 请 存 数据 ， 您 必须 先 稳 其 格式 化 * 
选择 是 否 要 格式 化 这 个 爷 ! 如 果 要 格式 化 ， 要 使 用 什么 设置 。 正在 完成 新 建 简单 卷 向 导 


您 已经 成 办 完成 新 建 简单 关 问 导 < 


口 启用 文件 和 文件 夹 压 妨 邓 ) 


(t—# o F—# >) ( 


图 7.45 不 要 格式 化 这 个 卷 7.46 完成 新 建 简单 卷 


步骤 12 ”此 时 出 现 驱动 器 H 未 格式 化 提示 ,如 图 7. 47 所 示 ; 再 次 温馨 提 示 :“ 千 万 不 要 
格式 化 耳 盘 ", 此 时 单 击 * 取 消 ?按钮 ; 出 现 * 无 法 访问 H:\” 提 示 , 如 图 7. 48 所 示 , 单 击 “确定 ” 
按钮 
使 用 驱动 器 H: 中 的 光盘 之 前 需要 梅 其 格式 化 。 


《不 可 用 
Q ===. 


是 否 要 将 其 格式 化 ? 可 
一 请 确定 所 有 请 求 的 文件 系统 驱动 各 序 已 加 载 ， 目 此 卷 未 损坏、 
图 7.47 驱动 器 H: 未 格式 化 图 7.48 无 法 访问 H:\ 


步骤 13 重复 步骤 7 一 步骤 12 共计 3 次 .在 出 现 “ 新 建 简单 卷 向 导 ” 第 2 个 窗口 _ 指 定 卷 
大 小 ,在 “简单 卷 大 小 (MB)(S) :? 右 侧 的 列表 框 中 依次 分 别 输入 第 2.3.4 个 逻辑 盘 的 大 小 : 即 
“150”“200” 和 “316”。 

在 出 现 “ 新 建 简单 卷 向 导 ” 第 3 个 窗口 _ 分 配 驱 动 器 号 和 路 径 ,此 时 选择 “分 配 以 下 驱动 器 
号 (A)”, 假 设 驱 动 器 号 分 别 选 择 IJ A K. 

MAKER: TZ Fase k. k K á”. 

步骤 14 通过 计算 机 管理 的 磁盘 管理 功能 查看 磁盘 1, 可 以 看 到 于 盘 .I 盘 .J 盘 和 开盘 
的 文件 系统 均 为 RAW, 如 图 7.49 所 示 ; 至 此 ,4 个 逻辑 盘 对 应 的 4 个 GPT 分 区 已 经 建立 ,但 
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是 4 个 逻辑 盘 的 开始 扇 区 ( 即 DBR) 已 被 “00? 填 充 , 需 要 通过 各 自 的 NTFS_DBR 备份 来 恢复 。 


计算 机 管理 Ee 
文件 四 ”所作 (A) SEV FAW 
+s >J BE PD x # ç a 8 
> O amta ‘|e [sm|=m|[x. [s= == 可 用 空间 | % 可 用 | 容错 | 开销 
> E saam = 简单 基本 状态 良好 (OEM 分 39MB 39MB 10% Æ 0% 


+ LUN 未 分 本 8 主 分 区 N 扩展 分 区 出 可 用 空间 8 Fawsos 


7.49 磁盘 1 中 4 个 逻辑 盘 文件 系统 均 为 RAW 


步骤 15 将 光标 移动 到 磁盘 1 处 , 右 击 ,从 弹出 的 快 ”Ba 
捷 菜单 中 选择 “分 离 VHD” 后 ,出 现 “ 分 离 虚拟 硬盘 ” 窗 
H ,不 要 选择 “删除 磁盘 后 删除 虚拟 硬盘 文件 (D)。” 前 的 
复 选择 框 ,如 图 7. 50 所 示 , 单 击 “ 确 定 ” 按 钮 。 

步骤 16 启动 WinHex 软件 ,打开 abcd73. vhd。 

操作 方式 :“ 文 件 一 打开 ”一 “选择 abcd73. vhd X 
件 ”,“ 专 家 一 映像 文件 为 磁盘 ”。 

步骤 17 通过 H 盘 的 NTFS_DBR 备份 恢复 H 盘 的 NTFS_DBR。 

将 光标 移动 到 680063 号 扇 区 ( 即 H 盘 NTFS_DBR 备份 所 在 扇 区 号 ) ,并 选择 该 鹿 区 ; 单 


分 离 庶 拟 鲁 盘 将 使 其 不 可 用 ， 直 到 它 丙 次 附加 为 止 。 
NEELAM 


Dea bcd vad 


7.50 分 离 虚 拟 硬盘 1 


一 一 一 一 一 N" 
| Offset | 0 1 2 3 4 S 6 7 8 9 A B C D E FZ 
02010000 |EB 52 90 4E 54 46 53 20 20 20 20 00 02 08 00 OO | eR.NIFS 


02010010 |00 00 00 00 00 F8 00 00 3F 00 FF 00 80 00 01 00 
originai | 02010020 00 00 00 00 80 00 80 00 FF 5F 09 00 00 00 00 OO .... 
Undo levet o| 02010030 |00 64 00 00 00 00 00 00 02 00 00 00 00 00 00 OO .d 
Undoreverses: ma | 02010040 F6 00 00 00 01 00 00 00 B2 E6 B7 9E 32 B8 9E 78 6....... 
02010050 00 00 00 00 FA 33 CO 8E DO BC 00 7C FB 68 CO 07 .... 


Offset 201001F =0 Block 14COFE00 - 14COFFFF | Size: 
图 7.51 通过 H 盘 NTFS_DBR 备份 恢复 H # NTFS_DBR 


同样 的 操作 ,将 987263 5: B < (EI 1 盘 NTFS_DBR 备份 所 在 扇 区 号 ) 复 制 到 680064 号 
BC. 

将 1396863 5 K (EI J Æ NTFS_DBR 备份 所 在 扇 区 号 ) 复 制 到 987264 号 扇 区 , 

将 2044031 Hj X (EBI K 盘 NTFS_DBR 备份 所 在 扇 区 号 ) 复 制 到 1396864 号 扇 区 。 

最 后 , 单 击 “ 保 存 ” 按 钮 ,并 退出 WinHex, 

步骤 18 启动 计算 机 管理 ,选择 “磁盘 管理 ”一 “操作” 一 “附加 VHD” 出现“ 附加 虚拟 硬 
盘 窗口 ”, 单 击 “ 浏 览 ” 按 钮 ,选择 “abcd73. vhd” 文 件 , 单 击 “ 确 定 ” 按 钮 ; 将 abcd73. vhd 文件 附 
加 成 虚拟 硬盘 1。 在 资源 管理 器 中 可 以 查看 到 H 盘 ,1 盘 、J 盘 和 K 盘 中 的 所 有 文件 和 文件 夹 。 

当 GPT 分 区 被 删除 后 ,如 果 整 个 硬盘 的 总 容量 小 于 2TB, 并 且 分 区 总 数 小 于 4 个 时 ,也 可 
以 通过 重建 MBR 分 区 表 的 形式 来 恢复 。 

例 7.4 在 例 7.3 中 ,由 于 整个 硬盘 总 容量 小 于 2TB, 通 过 重建 4 个 MBR 分 区 表 的 形式 
来 恢复 4 个 逻辑 盘 中 的 全 部 数据 ( 注 : 素材 文件 名 为 abcd73. vhd) 。 
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【恢复 MBR 分 区 表 基 本 思路 】 


恢复 4 个 逻辑 盘 在 硬盘 0 号 扇 区 偏 移 0X01BE—0X01FD 处 对 应 的 4 个 MBR 分 区 表 。 

【恢复 MBR 分 区 表 基 本 方法 】 

(1) 通过 NTFS_DBR 的 特征 值 找到 NTFS_DBR 和 NTFS_DBR 备份 所 在 扇 区 号 。 

(2) 通过 NTFS_DBR 所 在 扇 区 号 和 NTFS_DBR 备份 所 在 扇 区 号 ,分别 计算 4 个 逻辑 盘 
所 占 扇 区 数 。 

(3) 通过 4 个 逻辑 盘 NTFS_DBR 所 在 扇 区 号 和 所 占 扇 区 数 ,计算 4 个 逻辑 盘 在 硬盘 0 号 
扇 区 的 MBR 分 区 表 。 

(4) 将 4 个 MBR 分 区 表 填 入 到 硬盘 0 号 扇 区 偏 移 0XOIBE~0XO1FD 处 。 

【恢复 MBR 分 区 表 操 作 步 又 】 

步骤 1 一 步骤 5 与 【恢复 GPT 分 区 操作 步骤 ] 步 又 1 一 步骤 5 相同 。 

步骤 6 通过 4 个 NTFS_DBR 所 在 扇 区 号 和 4 个 逻辑 盘 所 占 总 扇 区 数 ,可 以 得 到 4 4° Z 
辑 盘 在 整个 硬盘 0 号 扇 区 对 应 分 区 表 中 的 相对 扇 区 和 总 扇 区 数 , 见 表 7. 14 所 列 。 


表 7.14 4 个 分 区 表 在 整个 硬盘 0 号 扇 区 分 区 表 中 的 相对 扇 区 和 总 扇 区 数 


文件 相对 扇 区 EET 
系统 | 十 进 制 | 十 六 进 制 | ”存储 形式 | 十 进 制 | 十 六 进 制 | ”存储 形式 
第 1 个 NTFS 65664 10080 80 00 01 00 614400 96000 00 60 09 00 
第 2 个 NTFS 680064 A6080 80 60 0A 00 307200 4B000 00 B0 04 00 
第 3 个 NTFS 987264 F1080 80 10 OF 00 409600 64000 00 40 06 00 
第 4 个 NTFS 1396864 155080 80 50 15 00 647168 9E000 00 E0 09 00 


步骤 7 通过 4 个 分 区 表 中 的 相对 扇 区 和 总 扇 区 数 ,计算 4 AE k EBE 0 号 扇 区 4 个 
分 区 表 , 见 表 7. 15 所 列 。 
表 7.15 整个 硬盘 0 号 扇 区 偏 移 0X01BE—0X01FD 处 4 个 分 区 表 的 存储 形式 
自 举 开始 地 址 分 区 “开始 地 址 


2 MEAP 。 标志 aw mk ew FUME 。 总 遍 区 数 
第 1 个 0lBE~01CD 00 00 00 00 07 FEFFFF 80000100 00600900 
第 2 个 O01CE~01DD 00 00 00 00 07 FEFFFF 80600A00 00 B004 00 
第 3 个 01DE~01ED 00 00 00 00 07 FEFFFF 80100F00 004006 00 
第 4 个 OlEE~01FD 00 00 00 00 07 FEFFFF 80501500 00 EO 09 00 


步骤 8 将 硬盘 0 号 扇 区 以 文件 的 形式 存储 ,文件 名 和 存储 位 置 自 定 , 将 4 个 分 区 表 填 人 
到 硬盘 0 号 扇 区 偏 移 0X01BE~~0X01FD 处 ,如 图 7. 52 所 示 ,存盘 并 退出 WinHex, 


[abear3 ha] 
Partttoning style: GPT 


= AKRAB 5 I NEOXOIBE-0X01 FDAk e 
32.0 MB n - 


Name - 
Partton 1 (MS Reserved) 


Offset 0 1 2 3 4 f 9 ABCDEF 

Default EditMode 

Siae: onginal | 000001A0 00 00 00 00 00 00 dr 00 00 00 00 00 00 00 00... 
00000180 00 00 00 00 0i D0 B8 A4 FF C7 00 00 


wa ma | 000001c0 [00 00 07 FF FF FF|60 00 01 00]00 60 09 00|00 00 

00000100 

Total capacity. 10cB | 000001E0 [00 00 07 FF FF FE|80 10 oF 00|00 40 06 0000 00 
1048.576.512bytes | 000001F0 

512 | 00000200 

eng 1537 | 00000210 

Ofset we =0_ Biok WE- WE Ste 1 


7.52 将 4 个 分 区 表 填 人 到 硬盘 0 号 扇 区 偏 移 0X01BE—0X01FD 处 
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步骤 9 使 用 计算 机 管理 中 的 磁盘 管理 功能 附加 abcd73. vhd 文件 后 ,可 以 看 到 磁盘 1 中 
HJ H AIAJ EA 盘 的 文件 系统 均 为 NTFS, 如 图 7.53 所 示 , 在 资源 管理 器 中 可 以 查看 
A HALAJAA K 盘 中 的 所 有 文件 和 文件 夹 。 


XD SMA ESV PAH 
L 
Emendo 类 型 | 文件 系统 | gs | 可 用 空间 | % 可 用 - [ME 


布局 TE” 
前 ERTA Sm me EE NTFS ESE 30MB 4MB 91% 至 o% J 
» O =m |a 四 Re EF NIS à 状态 良好 主 分 区 150MB 133MB 89% Æ 0% 
E a 四 简单 基本 NTFS 。 状态 良 好 主 分 区 200MB 169MB 85% S 0% ua. 
aK) 简单 基本 NTFS 状态 良好 主 分 区 ) 316M8 288 MB 9% Æ 0% 
ame 
at | om 四 a > a 
999 MB 32 MB |[300 MB NTFS 150 MB NTFS 200 MB NTFS 316 MB NTFS 
联机 未 分 配 | 状态 良好 ( 主 分 区 ) | 状态 良好 EAN) | | 状态 各 好 主 分 区 ) | 状 志良 好 
用 未 分 本 8 =S B rao B 可 用 空间 B munaspa 


图 7.53 附加 abcd73. vhd 后 所 看 到 的 4 个 逻辑 盘 


7.2 恢复 DBR 


7.2.1 DBR 被 破坏 后 的 现象 


如 果 逻 辑 盘 的 FAT32_DBR 或 者 NTFS_DBR 被 破坏 ,而 该 文件 系统 对 应 的 分 区 表 完 好 ， 
在 资源 管理 器 中 可 以 查看 到 该 分 区 表 产生 的 盘 符 。 但 单 击 该 盘 符 时 ,会 出 现 “ 磁 盘 未 格式 化 ” 
提示 。 切 记 ! 此 时 * 千 万 不 要 对 还 辑 盘 进 行 格式 化 "操作 。 只 要 恢复 FAT32_DBR 或 者 NTFS_ 
DBR 中 的 BPB 参数 即 可 恢复 逻辑 盘 中 的 所 有 文件 和 文件 夹 。 

例 7.5 通过 计算 机 管理 功能 中 的 磁盘 管理 功能 附加 素材 文件 abcd74. vhd 成 一 个 物理 
盘 后 ( 即 磁盘 1) ,在 资源 管理 器 中 可 以 看 到 添加 了 4 个 逻辑 盘 ,4 个 逻辑 盘 的 文件 系统 均 为 


RAW ,如 图 7.54 所 示 。 


e+ >) BE P x g 2 Q 8 


Otaes -|€ L [s= [em č |m |x] ee] | 
g iia = 状 志良 好 (OEM 分 ~ 39 MB 39 MB 10% Æ 0% | 
= te F | — 
E 本 le 用 户 和 组 | aae: 
"© || == 
dessa 引 1023 we 
era || mm 
= aesa | 
Bb enmena ~ |B 未 分 本 B 主 分 区 8 扩展 分 区 N 可 用 空间 g masana 


图 7.54 附加 素材 文件 abcd74. vhd 后 的 磁盘 1 


这 4 个 逻辑 盘 对 应 的 4 个 分 区 表 存 储 在 整个 硬盘 0 号 扇 区 ,如 图 7.55 所 示 。 从 图 7. 55 
中 的 分 区 标志 可 知 ,前 两 个 分 区 表 的 分 区 表 标 志 为 “0B”, 而 后 两 个 分 区 表 的 分 区 标志 为 “07”。 


[ideare vaa L 
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分 区 表 


Issa asss Ta gasas Í  0570<044 


442MB 1187988 
640kB ° 
17MB 2093184 
257KB 


Offset 234567 89 


00000180 
000001c0 21 OE 13[80 00 00 00[00 BO 04 00 
ongnal | 00000100 B3 10 23|so B0 04 oojoo 10 04 o0 
000001E0 F1 28 49|so co os oojoo so o9 oofoo Fl 
000001F0 FE 3F 81|80 20 12 oojoo po op oo|ss 从 
J Onset PT 


说 明 ， 


图 7.55 硬盘 0 号 扇 区 所 存储 的 4 个 分 区 表 


(1) 第 1 个 分 区 表 对 应 文件 系统 为 FAT32,FAT32_DBR 被 破坏 而 FAT32_DBR 备份 


完好 。 


(2) 第 2 个 分 区 表 对 应 文件 系统 为 FAT32,FAT32_DBR 和 FAT32_DBR 备份 均 被 破坏 。 
(3) 第 3 个 分 区 表 对 应 文件 系统 为 NTFS,NTFS_DBR 被 破坏 而 NTFS_DBR 备份 完好 。 
(4) 第 4 个 分 区 表 对 应 文件 系统 为 NTFS,NTFS_DBR 和 NTFS_DBR 备份 均 被 破坏 。 

在 资源 管理 器 中 ,查看 4 个 分 区 表 产 生 的 4 个 逻辑 盘 分 别 为 H A EJEA K E, 


图 7.56 所 示 。 


组 织 ” EAEE PELESES 。。 呐 导 网 手动 器 ATLE Er 
b ca Ddisk (D) m am 总 大 小 JASA p 
t ea Fdisk (F) 加 Gdisk(G] Hee 68368 448GB 

t e Gdisk (G) armen) +e 

D ca DBRS (H) J c 本 地 而 前 (L) +s | 
EET] ma es 

bn === +e 

t ea DR K 4， 有 可 移动 存储 的 设备 (1) 

biji MSN 上 的 “我 的 网 站 - éovpRwam. cosa 


图 7.56 在 资源 管理 器 中 所 查看 到 的 4 个 逻辑 盘 


如 果 单 击 H 盘 , 则 会 出 现 * 是 否 要 将 其 格式 化 ?提示 ,如 图 7. 57 所 示 。 再 次 温馨 提 示 : 
“ 千 万 不 要 格式 化 该 磁盘 ”, 此 时 单 击 “ 取 消 ” 按 钮 , 则 出 现 “ 无 法 访问 H:\。” 提 示 , 如 图 7. 58 所 


示 , 单 击 “ 确 定 ” 按 钮 。 
Microsoft Windows. 
使 用 驱动 器 H: 中 的 光盘 之 前 需要 将 其 格式 化 。 
BERERE 
7.57 出现“ 磁盘 未 格式 化 ”提示 7.58 ”出 现 “无 法 访问 H 盘 ” 提 示 


将 光标 移动 到 H 盘 , 右 击 , 从 弹出 的 快捷 菜单 中 选择 “属性 ”, 查 看 H 盘 的 属性 时 ,H 盘 的 
已 用 空间 和 可 用 空间 均 为 0 字 节 ,如 图 7. 59 所 示 。 

出 现 以 上 现象 往往 是 因为 FAT32_DBR 或 者 NTFS_DBR 被 破坏 ,需要 恢复 FAT32_ 
DBR 或 NTFS_DBR 中 的 相应 BPB 参数 。 
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> FERR H) 
w (IR [ur [ag [ummøsleex] 


@ 

Am sanam 

文件 系统 

图 用 空间 0 字 节 0 字 节 

g 引用 空间 opt ot 
= oh 0 字 节 


36598 w 


CE EE sao ) 


图 7.59 查看 H AKEHE 


7.2.2 恢复 FAT32_DBR 


FAT32_DBR 被 破坏 ,分 两 种 情况 来 分 析 。 

【情况 一 】 FAT32_DBR 被 破坏 而 FAT32_DBR 备份 完好 ; 针对 【情况 一 】 下 面 介绍 两 种 
数据 恢复 的 基本 思路 ,方法 与 步骤 。 

【数据 恢复 基本 思路 与 方法 (一 )】 

通过 分 区 表 确 定 FAT32_DBR 所 在 扇 区 号 .通过 FAT32_DBR 备份 来 恢复 FAT32_DBR， 
即将 FAT32_DBR 备份 复制 到 FAT32_DBR 所 在 扇 区 。 

注 : FAT32_DBR 位 于 逻辑 盘 的 0 号 扇 区 ,而 FAT32_DBR 备份 一 般 位 于 6 号 扇 区 ; 也 可 
以 通过 查找 FAT32_DBR 特征 值 的 方式 来 确定 FAT32_DBR 备份 所 在 扇 区 号 。 

例 7.6 通过 计算 机 管理 中 的 磁盘 管理 功能 附加 素材 文件 abcd74. vhd 成 一 个 物理 盘 后 
( 即 磁盘 1) ,第 1 个 分 区 对 应 逻辑 盘 ( 假 设 为 H 盘 ) 的 文件 系统 为 FAT32,FAT32_DBR 被 破 
坏 , 而 FAT32_DBR 备份 完好 ,需要 恢复 H 盘 中 的 全 部 数据 。 

【分 析 】 

从 图 7.55 可 知 ,第 1 个 分 区 表 的 相对 扇 区 为 128, 总 扇 区 数 为 307200; 在 分 区 表 中 的 存 
储 形式 分 别 为 “80 00 00 00” 和 “00 BO 04 00”; 由 于 分 区 表 存 储 在 整个 硬盘 的 0 号 扇 区 ,所 以 
H # FAT32_DBR 位 于 整个 硬盘 的 128 号 扇 区 ; 而 FAT32_DBR 备份 则 位 于 134 号 扇 区 。 

【操作 步骤 (一 )】 

步骤 1 启动 WinHex 软件 。 

步骤 2 使 用 WinHex 打开 该 物理 硬盘 。 选 择 菜单 栏 上 的 “文件 ”一 “打开 ”一 ”选择 
abcd74. vhd 文件 ”;“ 专 家 ”一 “映像 文件 为 磁盘 ”一 “选择 整个 硬盘 0 号 扇 区 ”, 如 图 7. 55 所 示 。 

步骤 3 由 于 第 1 个 分 区 对 应 的 DBR 位 于 整个 硬盘 的 128 号 扇 区 ,将 光标 移动 到 128 号 
扇 区 ,128 号 扇 区 前 80 字 节 内 容 如 图 7. 60 所 示 , 从 图 7. 60 可 知 ,128 号 扇 区 已 不 再 是 FAT32 
_DBR ,将 该 扇 区 以 文件 的 形式 保存 ,文件 名 和 存储 位 置 自 定 。 

步骤 4 将 光标 移动 到 134 号 扇 区 ( 即 FAT32_DBR 备份 所 在 扇 区 号 ) ,如 图 7. 61 所 示 ; 
从 图 7.61 可 知 :总 扇 区 数 为 307200, 在 FAT32_DBR 备份 中 的 存储 形式 为 “00 BO 04 00”, 与 
第 1 个 分 区 表 中 总 扇 区 数 相等 ,可 以 判断 ,该 扇 区 为 FAT32_DBR 备份 。 


[emma | 
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Partitioning style: MBR. 


Tu Partition 1 FAT32 150MB 128 sà 
CAA Offset [0 1 2 3 4 5 6 7 8 9 A B C D E FI [| FE 
£ 00010000 BB AA 55 CD 13 72 10 81 FB 55 AA 75 OA F6 C1 01 Waui.r. .Uau.6A. a 
Default Edit Mode 00010010 74 05 FE 46 02 EB 2D 8A 56 40 B4 08 CD 13 73 05 t.bF.ë-IV@'.Í.s. 
State: orginal | 00010020 B9 FF FF 8A F1 66 OF B6 C6 40 66 OF B6 D1 80 E2 :yyliif .Fer .fila 
Undo levet: o| 00010030 3F F7 E2 86 CD CO ED 06 41 66 OF B7 C9 66 F7 El ?+āIÍÀi.Af.-Éf+á 
Undo reverses: ma| 00010040 66 89 46 F8 83 7E 16 00 75 38 83 7E 2A 00 77 32 flFolv..u8blve.w2 + 
ector 128 of 20971: Offset 10000. =187| Bloc Ma | Size: na 


7.60 被 破坏 的 FAT32_DBR 


Labeata. wa | 


保留 扇 区 


x 1SONB 


A 7 Offset 0 1 N 

E mea 00010C00 EB 58| 4D 53 44 4F 53 35 2E 30 OO 02 04|6E 18 |éx.MsDos5.0...n. 
Default Edit Mode 0ooloc10 02 00Jo oo 00 F8 OD OO 3F 00 FF 00 

originai | 00010c20 [00 Bo 04 00]49 02 oo oo oo oo oo oo 02 00 OO Ñ 
Undo levet: o| ooolocs0 01 00 06 00 00 OO 00 00 00 00 OO OO 00 OO OO Ol 
Undo reverses: maj 00010C40 |80 00 29 89 25 A7 1A 4E 4F 20 4E 41 4D 45 20 20 

00010C50 |20 20 46 41 54 33 32 20 20 20 33 C9 8E D1 BC F4 
Total capaci 1068 - 
ctor 134 of 2097153 Ofset 1001F = 0 Block 
7.61 FAT32_DBR 备份 所 在 扇 区 


PRS 将 光标 移动 到 134 号 扇 区 开始 位 置 ， 
of block”, 定 义 块 首 ; 将 光标 移动 到 该 扇 区 的 结束 
of block”, 定 义 块 尾 , 单 击 工具 栏 上 的 “复制 ?按钮 。 


右 击 , 从 弹出 的 快捷 菜单 中 选择 “Beginning 
位 置 , 右 击 , 从 弹出 的 快捷 菜单 中 选择 “End 


步骤 6 将 光标 移动 到 128 号 扇 区 开始 位 置 , 单 击 工具 栏 上 的 “粘贴 >( 即 Write 
Clipboard) 按 钮 ,如 图 7. 62 所 示 , 然 后 存盘 并 退出 WinHex。 
Cabeart vha] | E 
Partitie MBR 3fles,4 is 
i 
de 00010000 a] z s D = n = = 5 = s 站 g z E E i ü 


00010010 02 00 00 00 00 F8 00 00 
00010020 [00 BO 04 00]49 02 00 00 
00010030 ,01 00 06 OO 00 00 00 00 
00010040 80 00 29 89 25 A7 1A 4E 
00010050 20 20 46 41 54 33 32 20 


10C1F. 


Ofset 


3F 00 FF 00 80 00 00 00 
00 00 00 00 02 00 00 00 
00 00 00 00 00 00 00 00 
4F 20 4E 41 4D 45 20 20 1 
20 20 33 C9 8E D1 BC F4 


= 0 Bloc 


7.62 将 134 号 扇 区 复制 到 128 号 扇 区 
步骤 7 通过 计算 机 管理 功能 附加 abcd74. vhd 文件 后 ,到 资源 管理 器 中 可 以 查看 到 H 盘 


中 的 文件 和 文件 夹 。 
【数据 恢复 基本 思路 与 方法 (二 )】 


找到 FAT32_DBR 备份 所 在 扇 区 号 ,将 FAT32_DBR 备份 作为 FAT32_DBR 来 处 理 。 


从 图 7.55 可知, 第 1 个 分 区 表 为 “00 02 03 00 
相对 扇 区 为 128( 存 储 形 式 为 “80 00 00 00”); Š Hl 


0B 21 0E 13 80 00 00 00 00 BO 04 00”, 所 以 
区 数 为 307200( 存 储 形式 为 “00 BO 04 00”). 


从 图 7. 61 可 知 ,保留 扇 区 数 为 7022( 存 储 形式 为 “6E 1B”); 隐藏 扇 区 数 为 128( 存 储 形 式 
为 “80 00 00 00”); 总 扇 区 数 为 307200( 存 储 形式 为 “00 BO 04 00”). 


H + H # FAT32_DBR 备份 在 整个 硬盘 的 
图 7.63 所 示 。 
需要 修改 的 参数 如 下 : 


134 号 扇 区 ,修改 参数 前 ,整个 硬盘 结构 如 


(1) 修改 第 1 个 分 区 表 中 的 相对 扇 区 ,使 得 相对 扇 区 指向 FAT32_DBR 备份 , 即 相 对 肩 区 
增加 6 个 扇 区 ,由 128 修改 为 134; FAT32_DBR 备份 就 变 成 FAT32_DBR 。 
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逻辑 盘 整个 硬盘 逻辑 扇 区 号 | 各 逻辑 盘 扇 区 号 
l i I 
H 盘 分 区 表 
Ha ] 盘 分 区 表 
1 ”相对 9 IEA 区 表 
a MK K 盘 分 区 表 | 
à ak | 1~127 
K 扇 —— 
相 N| 
盘 对 区 128(EATS2 DBR) | O(FAT32.DBR) 
相 129-133 
E] H 
对 区 134(FAT32_DBR 备 份 ) par DR 
区 135~307327 -30719 
! 盘 307328~573567 0-266239 
1 
I 573568~1187967 0-614399 
1 
KÄ 1187968~2093183 0~905215 
未 分 区 的 扇 区 | 2093184-2097152 


图 7.63 修改 参数 前 整个 硬盘 结构 图 


(2) 修改 第 1 个 分 区 表 中 的 总 扇 区 数 , 即 分 区 表 中 总 扇 区 数 减 少 6 个 扇 区 ,由 307200 修 
改 为 307194。 

(3) 修改 134 号 扇 区 中 的 保留 扇 区 数 , 即 保留 扇 区 数 减少 6 个 扇 区 ,由 7022 修改 为 7016 。 

(4) 修改 134 号 扇 区 中 的 隐藏 扇 区 数 , 即 隐藏 扇 区 数 增加 6 个 扇 区 ,由 128 修改 为 134 
QE: 该 参数 的 正确 性 系统 不 进行 检验 ,也 可 以 不 修改 ) 。 

(5) 修改 134 号 扇 区 中 的 总 扇 区 数 , 即 总 扇 区 数 减少 6 个 鹿 区 ,由 307200 修改 为 307194 。 

修改 参数 后 ,整个 硬盘 结构 如 图 7. 64 所 示 。 


逻辑 盘 | 整个 硬盘 逻辑 扇 区 号 | 各 逻辑 盘 扇 区 号 


| 0 
l 
盘 HA KEDEK 
B 8 
A 对 MEK 1~127 
K H H 128 
A 对 区 129-133 
io ' 
对 区 H# 134(FAT32 DBR) | O(FAT32 DBR) 
HI 135~307327 1~307193 
区 
Ees 307328-573567 0-266239 
JŠ 573568~1187967 0-614399 
KÄ 1187968-2093183 0-905215 
未 分 区 的 扇 区 | 2093184-2097152 


图 7.64 修改 参数 后 整个 硬盘 结构 图 
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综合 1 一 5, 需 要 修改 的 参数 见 表 7. 16 所 列 。 
表 7.16 需要 修改 的 参数 内 容 


AKRE 修改 前 的 值 修改 后 的 值 
参数 存储 位 置 ps 修改 内 容 
(十 六 进 制 ) 十 进 制 存储 形式 十 进 制 存储 形式 
硬盘 0 号 扇 区 01C6 一 01C9 | 相对 扇 区 128 |80| oo oo oo 134 |86|00|00|00 
第 1 个 分 区 表 | 01CA~01CD | 总 扇 区 数 307200 | 00 | Bo | 04 | 00 | 307194 |FA |AF| 04 | 00 
000E~000F | 保留 扇 区 7022 6E 1B 7016 68 1B 
硬盘 134 号 扇 区 | 001C—001F | 隐藏 扇 区 数 128 |80|00|00|00| 134 |86|00|00|00 
0020~0023 | 总 扇 区 数 307200 | 00 | Bo | 04 | 00 | 307194 | FA | AF| 04 | 00 


修改 参数 前 ,H 盘 与 整个 硬盘 的 对 应 关系 见 表 7. 17 所 列 ; 修改 参数 后 ,整个 硬盘 结构 见 
表 7.18 所 列 。 


表 7.17 修改 参数 前 ,H 盘 扇 区 号 与 整个 硬盘 扇 区 号 对 应 关系 表 


整个 硬盘 H 盘 的 逻辑 所 占 
KME | ymas | mis wo ES | arg | 备注 
分 区 表 到 FAT32_DBR 隐藏 
一 127 Ë 128 
THRE J S EE Bx 
128 0 FAT32_DBR 1 
129 1 FSINFO š i 
130~133 2~5 未 用 4 
RERE 134 6 FAT32_DBR 备份 1 x 
135 7 FSINFO 备份 $ 用 
136 一 7149 8 一 7021 未 用 7014 m 
FATI # 7150~7734 | 7022~7606 | FATI 表 占 用 扇 区 585 i 
FAT2 表 7735—8319 | 7607—8191 | FAT2 表 占 用 扇 区 585 
数据 区 “| 8320—307327 | 8192—307199 | 数据 区 占用 扇 区 2 一 74753 299008 
表 7.18 修改 参数 后 ,H 盘 扇 区 号 与 整个 硬盘 扇 区 号 对 应 关系 表 
整个 硬盘 H 盘 的 逻辑 所 占 
NEME 逻辑 扇 区 号 扇 区 号 ñ Æ wi 扇 区 数 ai 
分 区 表 到 FAT32_DBR 隐藏 
一 1 一 1 
相对 扇 区 0 一 133 BAKS 34 BK 
134 0 FAT32_DBR F 
135 1 FSINFO $ T 
136~139 2~5 未 用 4 
FERK 140 6 未 用 š s" 
141 7 未 用 1 
用 
142 一 7149 8 一 7015 未 用 7008 m 
FATI & 7150—7734 7016 一 7600 | FAT1 表 占 用 扇 区 585 区 
FAT2 表 7735 一 8319 7601~8185 | FAT2 表 占 用 扇 区 585 
数据 区 8320 一 307327 | 8186—307193 | 数据 区 占用 肩 区 2 一 74753 299008 


【操作 步骤 (二 )】 
步骤 1 和 步骤 2 与 【操作 步骤 (一 )】 中 步骤 1 和 步骤 2 相同 。 


& 大 话 数据 恢复 


步骤 3 查找 FAT32_DBR 备份 所 在 扇 区 号 ,在 134 号 扇 区 找到 ,如 图 7. 61 所 示 。 由 于 
FAT32_DBR 中 总 扇 区 数 等 于 整个 硬盘 0 号 扇 区 第 1 分 区 表 中 的 总 扇 区 数 ,可 以 初步 判断 该 
扇 区 为 FAT32_DBR 备份 ; 从 FAT32_DBR 备份 和 第 1 个 分 区 表 可 知 ,整个 硬盘 扇 区 号 H 盘 
扇 区 号 与 簇 的 对 应 关系 , 见 表 7. 17 所 示 。 

步骤 4 将 光标 移动 到 整个 硬盘 0 号 扇 区 ,将 整个 硬盘 0 号 扇 区 第 1 个 分 区 表 中 的 相对 
扇 区 由 128 修改 为 134, 总 扇 区 数 由 307200 修改 为 307194, 然 后 存盘 ,如 图 7. 65 所 示 。 


Partitioning style: MBR 


= = AMes, 4 partitions 
了 Panmon1 anz ”1505 旭 ”| 将 第 1 个 分 区 表 的 相对 扇 区 由 128 修 改 为 134 J 
i Offset |0 1 2 3 4 € 9° A B C DE F Ç 
000001B0 65 6D 00 00 00 63\e K 18 7B B3 49 00 00 [00 02] em 
DefautEdtMode | 000001c0 [03 00 oB 21 oF 13|86 oo 00 00[FA AF 04 oojoo 21 .. 
State: original | 000001D0 OF 13 DB B3 10 23 80 BO 10 04 00 00 B3 .. 
000001E0 |11 23 07 F1 28 49 


Undo level: ° 
Undo reverses: na 


tt Í ŽAK 2 为 
onset CE, = 0 Bo aiii maj 
图 7.65 修改 0 号 扇 区 的 第 1 个 分 区 表 的 相对 扇 区 和 总 扇 区 数 


步骤 5 由 于 分 区 表 的 相对 扇 区 增加 了 6 个 扇 区 ,FAT32_DBR 备份 也 就 变 为 FAT32_ 
DBR( 注 : 所 在 扇 区 号 为 134); 所 以 134 号 扇 区 中 的 保留 扇 区 将 减少 6 个 扇 区 , 即 由 原来 的 
7022( 注 : 存储 形式 为 “6E 1B”) 修 改 为 7016( 注 : 存储 形式 为 "68 1B”); 隐藏 扇 区 数 也 要 增加 
6 PHK, 

步骤 6 将 光标 移动 到 134 号 扇 区 ,修改 FAT32_DBR 中 的 保留 扇 区 、 隐 藏 扇 区 数 和 总 遍 
区 数 ,如 图 7. 66 所 示 ,存盘 并 退出 WinHex。 人 参数 修改 完成 后 ,134 Bl C H FAT32_DBR 备 
份 改变 为 FAT32_DBR 。 


Parttoning ste MBR 


Nam su 将 保留 扇 区 由 7022 修 改 为 7016 
也 Pariton1 PAT ”位 一 p 


Offset | 0 1 2 3 4 5 6 7 8 9 A B Ch 
Ma2zuabcd74 1 
E uad f oolocoo (EB 58 90 4D 53 44 4F 53 35 2E 300002 m mp 


Defaut Edit Mode 00010C10 02 00 00 00 00 F8 00 00 
State: orginal | 00010c20 [FA AF 04 00] 49 02 00 00 
Undo levet: o| o0010c30 Lo 7 


ma 


Undo reverses: 


7.66 修改 134 号 扇 区 的 保留 扇 区 数 、 隐 藏 扇 区 数 和 总 扇 区 数 


步骤 7 通过 计算 机 管理 功能 附加 abcd74. vhd 文件 后 ; 到 资源 管理 器 中 可 以 查看 到 H 
盘 中 的 文件 和 文件 夹 。 

【情况 二 】 FAT32_DBR 和 FAT32_DBR 备份 同时 被 破坏 ; 针对 【情况 二 下 面 介绍 3 种 
数据 恢复 的 基本 思路 与 方法 。 

【数据 恢复 基本 思路 与 方法 (一 )] 如 下 : 

A) 计算 FAT32_DBR 中 每 个 簇 的 扇 区 数 、 保 留 扇 区 数 、 隐 藏 扇 区 数 . 总 扇 区 数 和 每 个 
FAT 表 占 用 扇 区 数 这 5 个 参数 。 

(2) 通过 对 应 分 区 表 确 定 FAT32_DBR 所 在 扇 区 号 。 

G) 将 同一 版 本 FAT 32_DBR 复制 到 FAT32_DBR 所 在 扇 区 号 ,并 更 改 FAT32_DBR 中 的 每 
个 簇 的 扇 区 数 、 保 留 扇 区 数 、 隐 藏 扇 区 数 . 总 扇 区 数 和 每 个 FAT 表 占 用 扇 区 数 这 5 个 参数 。 

【数据 恢复 基本 思路 与 方法 (二 )] 如 下 : 

(1) 从 硬盘 0 号 扇 区 第 2 个 分 区 表 可 以 得 到 该 分 区 总 扇 区 数 为 266240( 即 130MB); 通过 
计算 ,第 2 个 分 区 FAT32 文件 系统 中 每 个 簇 的 扇 区 数 为 2( 即 1024 字 节 ) 。 
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(2) 建 一 个 名 为 abcd. vhd 的 虚拟 磁盘 文件 ,文件 大 小 为 110MB, 并 附加 成 一 个 虚拟 硬盘 , 
建立 一 个 分 区 ,分 区 大 小 为 130MB; 对 该 分 区 进行 快速 格式 操作 ,文件 系统 选择 “FAT32”， 
“分 配 单 元 大 小 (A): ”选择 “1024”, 假 设 所 产生 的 盘 符 为 G:。 

(3) 通过 G 盘 的 FAT32_DBR 恢复 第 2 个 分 区 表 的 FAT32_DBR 。 

【数据 恢复 基本 思路 与 方法 (三 )] 如 下 : 

(1) 找到 第 2 分 区 的 FATI1 表 , 找 到 后 以 文件 的 形式 存储 FATI 表 ,假设 文件 名 为 FAT, 
将 2 号 簇 ( 即 根 目录 的 开始 簇 号 ) 以 文件 的 形式 存储 ,假设 文件 名 为 ROOT, 

(2) 将 第 2 个 分 区 进行 快速 格式 化 操作 ,文件 系统 选择 “FAT32”;“ 分 配 单元 大 小 (A):” 
选择 “1024”。 

(3) 快速 格式 化 完成 后 ,通过 ROOT 文件 恢复 快速 格式 前 的 根 目录 开始 簇 号 内 容 ; 通过 
FAT 文件 恢复 快速 格式 化 前 的 FAT1 KAI FAT? 表 。 

于 篇 幅 限 制 , 本 节 以 实例 的 方式 介绍 第 一 种 数据 恢复 的 基本 思路 \ 方 法 与 步骤 ,后 两 种 
恢复 数据 的 步 又 ,请 读者 自己 实践 , 若 需 要 帮助 ,请 通过 QQ 直接 与 作者 联系 。 

例 7.7 通过 计算 机 管理 中 的 磁盘 管理 功能 附加 素材 文件 abcd74. vhd 成 一 个 物理 盘 , 即 
磁盘 1; 第 2 个 分 区 表 对 应 逻辑 盘 ( 假 设 为 1 盘 ) 的 文件 系统 为 FAT32,FAT32_DBR 和 
FAT32_DBR 备份 均 被 破坏 ,要 恢复 1 盘 中 的 所 有 数据 。 

【分 析 】 从 图 7.55 可 知 ,第 2 个 分 区 表 的 相对 扇 区 为 307328, B PC #k 2 266240 ,在 分 
区 表 中 的 存储 形式 分 别 为 "80 BO 04 00” 和 “00 10 04 00”; 由 于 分 区 表 存 储 在 整个 硬盘 的 0 号 
扇 区 ,所 以 I 盘 FAT32_DBR 位 于 整个 硬盘 的 307328 号 扇 区 。 

【恢复 数据 基本 思路 与 方法 】 

(1) 由 于 FAT32_DBR 和 FAT32_DBR 备份 均 被 破坏 ,需要 恢复 FAT32_DBR 相关 BPB 
参数 , 见 表 7. 19 所 列 。 


表 7.19 需要 计算 FAT32_DBR 中 的 BPB 参数 


字 节 位 移 字 节 数 & x 
0X0D 1 B < 3⁄ / #8 
OXOE š 保留 扇 区 数 
0X1C 4 隐藏 扇 区 数 
0X20 4 总 扇 区 数 
0X24 4 每 个 FAT 表 所 占 扇 区 数 


(2) 每 个 簇 的 扇 区 数 。 

方法 是 : 通过 查找 子 目 录 ( 即 文件 夹 ) 的 开始 特征 值 ( 特 征 值 的 十 六 进 制 代 码 为 
“2E202020”) 得 到 子 目 录 的 开始 复 号 和 开始 扇 区 号 ; 每 个 簇 的 扇 区 数 等 于 两 个 子 目 录 开 始 扇 
区 号 之 差 除 以 两 个 子 目 录 开始 簇 号 之 差 。 

(3) 保留 扇 区 数 。 

方法 是 : 从 分 区 表 获 得 FAT32_DBR 所 在 扇 区 号 ,通过 FAT1 表 的 开始 特征 值 (特征 值 的 
十 六 进 制 代码 为 *F8FFFFOF”) 查 找 得 到 FATI1 表 的 开始 扇 区 号 。 

保留 扇 区 数 = FATI 表 的 开始 扇 区 号 一 FAT32_DBR 所 在 扇 区 号 
(4) 隐藏 扇 区 数 。 
方法 是 : 从 对 应 MBR 分 区 表 中 的 相对 扇 区 获得 ( 注 : 由 于 系统 对 该 值 的 正确 性 不 进行 校 
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验 , 也 可 以 不 计算 该 值 ) 。 
(5) 总 扇 区 数 。 
方法 是 : 从 对 应 MBR 分 区 表 中 的 总 扇 区 数 获得 。 

(6) 每 个 FAT 表 占 用 扇 区 数 。 

方法 是 : 通过 查找 FAT 的 开始 特征 值 ,得 到 FAT1 RA FAT? 表 的 开始 扇 区 号 。 

每 个 FAT 表 占 用 扇 区 数 = FAT2 表 开 始 扇 区 号 一 FAT1 表 开始 扇 区 号 

(7) 将 同一 版 本 FAT32_DBR 复制 FAT32_DBR 所 在 扇 区 号 并 修改 表 7. 19 中 的 BPB 
参数 。 
【操作 步骤 】 
步骤 1 和 步骤 2 与 例 7.6【 操 作 步 又 ( 一 )] 中 步骤 1 和 步骤 2 相同 。 
步骤 3 从 图 7.55 可 知 ,第 2 个 分 区 FAT32_DBR 位 于 整个 硬盘 的 307328 号 扇 区 ,将 光 
标 移动 到 307328 号 扇 区 ,307328 号 已 不 再 是 FAT32_DBR 。 

步骤 4 查找 子 目录 的 开始 扇 区 号 。 

选择 菜单 栏 上 的 "搜索 ”~ 查找 Hex 数值 CH).…”, 出 现 
“Find Hex Values” 窗 口 ,在 “The following hex values will 
be searched:” 列 表 框 中 输入 “2E202020”; 在 “Search: ”下拉 S 
框 中 选择 “Down”; 选择 “Cond: " 左 侧 的 复 选 框 ; 在 “offset meraka a -0 
mod" 右 侧 的 两 个 文本 框 中 分 别 输入 “512” 和 ”0”; 如 图 7. 67 ikinpi sl 
所 示 ; 单 击 OK 按钮 。 

FRS 在 315522 号 扇 区 找到 第 1 个 子 目 录 的 开始 扇 [一 一 一 一 
区 号 ,如 图 7. 68 所 示 。 从 图 7. 68 可 知 ,该 子 目录 开始 簇 号 7.67 查找 子 目录 的 开始 扇 区 
的 高 16 位 为 0000( 存 储 形式 为 “00 00”) ,而 低 16 位 为 0003 
(存储 形式 为 “03 00”) ,所 以 该 子 目 录 的 开始 簇 号 为 3。 


The folowing hex values wil be searched: 
2E202020 - 


[F] Use as wildcard: [28] 


目录 开始 


[3 "| 
al | 09A10420 2E 2E 20 20 20 20 20 20 20 20 20 10 00 24 OD 7A .. a$. 
q| 09A10430 58 48 58 48 00 00 OE 7A 58 48 00 00 00 00 00 00 XHXH...zXH...... ` 
= 46 Block 10C00- 10DFF | Size: 


7.68 #E 315522 号 扇 区 找到 第 1 个 子 目录 的 开始 扇 区 


按 F3 键 ,继续 向 下 查找 ,在 315604 号 扇 区 找到 第 2 个 子 目 录 的 开始 扇 区 号 ,如 图 7. 69 所 
示 。 从 图 7. 69 可 知 ,该 子 目录 的 开始 簇 号 高 16 位 为 0000( 存 储 形式 为 “00 007) ,而 低 16 位 为 
002C( 存 储 形式 为 “2C 00”) ,所 以 该 子 目 录 的 开始 入 号 44。 
每 个 簇 的 扇 区 数 — (第 2 个 子 目录 的 开始 扇 区 号 一 第 1 个子 目录 的 开始 扇 区 号 ) — 
(第 2 个子 目录 的 开始 簇 号 一 第 1 个 子 目 录 的 开始 簇 号 ) 
(315604 — 315522) + (44 一 3) 
=> 
步骤 6 ER FATI KA FAT? 表 开 始 扇 区 号 。 
将 光标 移动 到 307328 号 扇 区 ( 即 第 2 个 分 区 开始 扇 区 号 ) 。 选 择 菜单 栏 上 的 “搜索 ”~~“ 查 
找 Hex # Ë (H)...”, H BW “Find Hex Values” 窗 口 ,在 “The following hex values will be 
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09A1A810 D8 48 D8 48[00_00]6F 79 
iginal | 09A1A820 2E 2E 20 20 20 20 20 20 20 20 20 10 00 B1 6E 79 .. -tny 
09A1A830 D8 48 D8 48 00 00 6F 79 D8 48 00 00 OO 00 00 OO @QHQH..oyQH...... 


[Gector 345604 ot 20971: Offset 9A10800 =46 | Block 10C00- 10DFF | Size- 2 


图 7.69 在 315604 号 扇 区 找到 第 2 个 子 目录 的 开始 扇 区 


searched: ” 3| RHE Hf A“F8FFFFOF”; 在 “Search: ”下 拉 框 中 选择 “Down”; 选择 “Cond: ” 左 
侧 的 复 选 框 ; 在 “offset mod” 右 侧 的 两 个 文本 框 中 分 别 输 入 *512” 和 “0”; 单 击 OK 按钮 。 在 
313502 号 扇 区 找到 , 即 FATI 表 开 始 扇 区 号 为 313502。 按 F3 键 继续 向 下 查找 ,在 314511 号 
扇 区 找到 , 即 FAT? 表 开始 扇 区 号 为 314511 。 

步骤 7 计算 保留 扇 区 数 。 

从 整个 硬盘 0 号 扇 区 第 2 个 分 区 表 可 知 ,FAT32_DBR 所 在 扇 区 号 为 307328 ,而 FATI1 
表 开 始 扇 区 号 为 313502。 

从 式 (5. 10) 可 知 : 
保留 扇 区 数 = FATI 表 开始 扇 区 号 一 FAT32_DBR 所 在 扇 区 号 = 313502 一 307328 = 6174 

步骤 8 从 整个 硬盘 0 号 扇 区 第 2 个 分 区 表 可 知 , 相 对 扇 区 为 307328, 即 FAT32_DBR 中 
隐藏 扇 区 数 为 307328, 

步骤 9 从 整个 硬盘 0 号 扇 区 第 2 个 分 区 表 可 知 ,总 扇 区 数 为 266240, 即 FAT32_DBR 中 
总 记 区 数 为 266240 。 

步骤 10 计算 每 个 FAT 表 占 用 扇 区 数 , 从 式 (5.14) 可 知 : 

每 个 FAT 表 占 用 扇 区 数 = FAT2 表 开 始 扇 区 号 一 FAT1 表 开 始 扇 区 号 
= 314511 — 313502 = 1009 
步骤 11 综合 步骤 5 一 步骤 10 ,需要 修改 FAT32_DBR 中 的 BPB 参数 , 见 表 7.20 所 列 。 


表 7.20 需要 修改 FAT32_DBR 中 BPB 参数 


字 节 位 移 | 字 节 数 § X = 
十 进 制 十 六 进 制 存储 形式 
0X0D 1 LES / 8 2 02 02 
OXOE 2 保留 扇 区 数 6174 181E 1E 18 
0X1C 4 隐藏 肩 区 数 307328 4B080 80 | Bo | 04 | 00 
0X20 4 总 扇 区 数 266240 41000 00 10 04 | 00 
0X24 4 每 个 FAT 所 占 扇 区 数 1009 3F1 F1 03 00 | 00 


步骤 12 将 307328 号 扇 区 以 文件 的 形式 保存 ,文件 名 和 存储 位 置 自 定 。 将 同一 版 本 
FAT32_DBR 复制 到 307328 号 扇 区 ,并 按 表 7. 20 中 FAT32_DBR 中 的 BPB 参数 修改 FAT32_ 
DBR 中 扇 区 数 /得 、 保 留 扇 区 数 、 隐 藏 扇 区 数 .总 扇 区 数 和 每 个 FAT 表 占 用 扇 区 数 ,如 图 7.70 
所 示 ,存盘 并 退出 WinHex。 

步骤 13 通过 计算 机 管理 中 的 磁盘 管理 功能 附加 abcd74. vhd 文件 后 ,到 资源 管理 器 中 
可 以 查看 到 工 盘 中 的 文件 和 文件 夹 。 
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将 保留 扇 区 修改 为 1E 18 


[rsm ga. TEKEREK 


ofEs 1 2 3 4 S 6 7 
53 44 4F 53 
00 F8 00 00 
El 03 00 00 


o | 09610030 |01 00 06 00 


s 将 每 个 FAT 所 占 记 


区 数 修改 为 Flt 03 00 00 儿 将 隐藏 扇 


区 修改 为 80 B0 04 00 


图 7.70 修改 FAT32_DBR 中 的 BPB 参数 


7.2.3 恢复 NTFS_DBR 


NTFS_DBR 被 破坏 分 两 种 情况 来 分 析 。 

【情况 一 】 NTFS_DBR 被 破坏 ,而 NTFS_DBR 备份 完好 ; 针对 【情况 一 ] 数 据 恢复 的 基 
本 思路 与 方法 如 下 : 

于 NTFS_DBR 备份 位 于 NTFS 分 区 的 最 后 一 个 扇 区 ,可 以 通过 分 区 表 计 算 NTFS_ 

DBR 备份 所 在 扇 区 号 ; 也 可 以 通过 查找 NTFS_DBR 特征 值 的 方式 确定 NTFS_DBR 备份 所 
在 扇 区 号 。 通 过 分 区 表 计 算 NTFS_DBR 所 扇 区 号 ,将 NTFS_DBR 备份 复制 到 NTFS_DBR 
所 在 扇 区 号 即 可 。 

例 7.8 通过 计算 机 管理 中 的 磁盘 管理 功能 附加 素材 文件 abcd74. vhd 成 一 个 物理 盘 ( 即 
磁盘 1) ,第 3 个 分 区 对 应 逻辑 盘 ( 假 设 为 J 盘 ) 文 件 系 统 为 NTFS, NTFS_DBR 被 破坏 ,而 
NTFS_DBR 备份 完好 ,恢复 本 盘 中 的 所 有 数据 。 

【分 析 】 

从 图 7.55 可 知 ,第 3 个 分 区 表 的 相对 扇 区 为 573568 ,总 扇 区 数 为 614400; 在 分 区 表 中 的 
存储 形式 分 别 为 “80 CO 08 00” 和 “00 60 09 00”, 由 于 分 区 表 存 储 在 整个 硬盘 的 0 号 扇 区 ,所 以 
J 盘 NTFS_DBR 位 于 整个 硬盘 573568 号 扇 区 。 

【操作 步骤 】 

步骤 1 启动 WinHex 软件 。 

步骤 2 使 用 WinHex 打开 该 物理 硬盘 。 选 择 菜单 栏 上 的 “文件 ”一 “打开 ”一 “选择 
abcd74. vhd 文件 ”;“ 专 家 ”一 “映像 文件 为 磁盘 ”一 “选择 整个 硬盘 0 号 扇 区 ”。 如 图 7.55 所 
示 , 从 图 7.55 可 知 ,第 3 个 分 区 的 DBR 位 于 整个 硬盘 573568 号 扇 区 ,将 光标 移动 到 573568 
号 扇 区 ,如 图 7.71 所 示 , 从 图 7.71 可 知 ,573568 号 已 不 再 是 NTFS_DBR ,将 该 扇 区 以 文件 的 
形式 保存 ,文件 名 和 存储 位 置 自 定 。 


Partitioning style MBR 3 mes, 4 partitions 
Isa. Tsze TCreatea Tam. Tassew- I < 

,Partition 3 300 MB 

Partition 4 442MB ros - 


Offset | 0 1 2 3 4 5 6 7 8 9 AR B C D E F] | 

11810000 74 05 FE 46 02 EB 2D 8A 56 40 B4 08 CD 13 73 05 t.bF.ë-IV@`.Í. Fil 
11810010 B9 FF FF 8A F1 66 OF B6 C6 40 66 OF B6 D1 80 E2 yyIif .qef. trak 
iginal | 11810020 3F F7 E2 86 CD CO ED 06 41 66 OF B7 C9 66 F7 El ?- 
11810030 66 89 46 F8 83 7E 16 00 75 38 83 7E 2A 00 77 32 £ 
11810040 66 8B 46 1C 66 83 CO OC BB 00 80 B9 01 00 E8 2B |£ 


Ofset 11481000F = 5 Blode 1E5- 1E9 | Size: 


7.71 被 破坏 的 NTFS_DBR 
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步骤 3 由 于 第 3 个 分 区 表 存 储 在 整个 硬盘 0 号 扇 区 ,相对 扇 区 为 573568, 总 扇 区 数 为 

614400, 而 NTFS_DBR 备份 则 位 于 NTFS 分 区 的 最 后 一 个 扇 区 。 
第 3 个 分 区 表 NTFS_DBR 备份 所 在 扇 区 号 = 相对 肩 区 十 总 扇 区 数 一 1 
= 573568 + 614400 — 1 = 1187967 

步骤 4 将 光标 移动 到 1187967 号 扇 区 , 即 NTFS_DBR 备份 所 在 扇 区 号 ,如 图 7. 72 所 示 
QÈ: 也 可 以 通过 查找 NTFS_DBR 的 特征 值 来 找到 NTFS_DBR 备份 所 在 扇 区 号 ) ,从 图 7. 72 
可 知 ,总 扇 区 数 为 614399 ,在 NTFS_DBR 备份 中 的 存储 形式 为 "FF 5F 09 00 00 00 00 00”, 比 
第 3 个 分 区 表 中 总 扇 区 数 少 1 个 扇 区 ,可 以 判断 该 扇 区 为 NTFS_DBR 备份 。 


Parttoning style MBR- 


Ea [sze Toreatea Tam. 
E Panton 3 7 zoome 
Partition 4 7 442MB 1187968 
2 
Ip: andl Offset 0 1 2 393 4 5 6 7 


| 2440FE00 EB 52 90 4E 54 46 53 20 20 20 20| 

2440FE10 00 00 00 00 00 F8 00 00 
2440FE20 00 00 00 00 80 00 80 00 
2440FE30 00 64 00 00 00 00 00 00 
2440FE40 F6 00 00 00 01 00 00 00 


Defaut Edit Mode 
State: origi 


Undo levet: ° 

Undo reverses: nla 
2440FESO |00 00 00 00 FA 33 CO 8E 

Total capacity; 10 CB | , 

Eor 1187967 o1 2097127 


图 7.72 NTFS_DBR 备份 所 在 扇 区 号 


步骤 5 将 光标 移动 到 1187967 号 扇 区 的 开始 位 置 , 右 击 , 从 弹出 的 快捷 菜单 中 选择 
“Beginning of block”, 定 义 块 首 ; 将 光标 移动 该 扇 区 的 结束 位 置 , 右 击 ,从 弹出 的 快捷 菜单 中 
选择 “End of block”, 定 义 块 尾 , 单 击 工 具 栏 上 的 “复制 "( 即 Copy block) 按 钮 。 

步骤 6 将 光标 移动 到 573568 号 扇 区 的 开始 位 置 , 单 击 工具 栏 上 的 “粘贴 即 Write 
Clipboard) 按 钮 。 如 图 7. 73 所 示 ,存盘 并 退出 WinHex。 


ee WER es 4 partitions. 
Ji Pannon 3 * 300WB 573568 
总 Parmon4 ? 442MB 1187988 z 
Paseaaag Offset | 0 1 2 3 4 S 6 7 8 9 A B C D E FZ 

11810000 |EB 52 90 4E 54 46 53 20 20 20 20 00 02 08 00 00 SR.NTFS 


| 11810010 |00 00 00 00 00 F8 00 00 3F 00 FF 00 50 CO 08 00 . 
610020 |00 o0 00 00 90 00 80:00 i 

11810030 |00 64 00 00 00 00 00 00 02 00 00 00 00 00 00 OO . 
11810040 F6 00 00 00 01 00 00 00 FE 85 C6 84 BE C6 84 CO 6 
11810050 |00 00 00 00 FA 33 CO 8E DO BC 00 7C FB 68 CO 07 _....ú 


图 7.73 将 1187967 号 扇 区 复制 到 573568 号 扇 区 


步骤 7 通过 计算 机 管理 中 的 磁盘 管理 功能 附加 abcd74. vhd。 到 资源 管理 器 中 可 以 查看 
到 丁 盘 中 的 文件 和 文件 夹 。 


【情况 二 】 NTFS_DBR 和 NTFS_DBR 备份 均 被 破坏 ; 针对 【情况 二 】 下 面 介绍 两 种 恢复 
NTFS_DBR 的 思路 与 方法 。 

【数据 恢复 基本 思路 与 方法 (一 )】 

d) 通过 分 区 表 确 定 NTFS_DBR 所 在 扇 区 号 。 

(2) 计算 NTFS_DBR 中 每 个 簇 的 扁 区 数 、 隐 藏 扇 区 数 、 总 扇 区 数 、 元 文件 $MFT 开始 簇 
号 .元 文件 $ MFTMirr 开始 簇 号 、 元 文件 $ MFT 每 条 记录 大 小 描述 和 每 个 索引 节点 大 小 描述 
这 7 个 参数 。 


G) 将 同一 版 本 的 NTFS_DBR 复制 到 NTFS_DBR 所 在 扇 区 号 ,并 修改 NTFS_DBR 中 
每 个 簇 的 扇 区 数 .隐藏 扇 区 数 和 总 扇 区 数 等 参数 。 
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【数据 恢复 基本 思路 与 方法 (二 )】 


(1) 通过 分 区 表 获 得 NTFS 总 扇 区 数 .NTFS_DBR 中 的 隐藏 扁 区 数 和 NTFS_DBR 所 在 


WPC. 


(2) 通过 NTFS 总 扇 区 数 计 算 NTFS 总 容量 ,假设 NTFS 总 容量 为 S, 通过 元 文件 
$ MFT sk $ MFTMirr 的 0 号 记录 计算 每 个 簇 的 扇 区 数 , 假 设 每 个 篮 的 扇 区 数 为 X。 

(3) 通过 计算 机 管理 中 的 磁盘 管理 功能 建立 一 个 虚拟 硬盘 文件 ,文件 大 小 略 大 于 S. 

(4) 将 该 虚拟 硬盘 文件 附加 成 虚拟 硬盘 (假设 为 磁盘 1) ,在 磁盘 1 中 建立 一 个 分 区 ,分 区 
大 小 为 S; 文件 系统 选择 NTFS, 每 个 簇 的 扇 区 数 选择 X, 对 该 分 区 进行 快速 格式 化 操作 。 

(5) 快速 格式 化 完成 后 ,通过 分 区 表 获 得 NTFS_DBR 所 在 扇 区 号 ,并 将 NTFS_DBR 作 


为 文件 保存 ,文件 名 假设 为 NTFS_DBR. vhd。 


(6) 通过 NTFS_DBR. vhd 来 恢复 已 破坏 的 NTFS_DBR ,通过 分 区 表 获 得 隐藏 扁 区 数 ,最 
后 修改 NTFS_DBR 中 的 隐藏 扇 区 数 ( 注 : 由 于 NTFS 对 隐藏 扇 区 数 的 正确 性 不 进行 校 验 ,也 


可 以 不 修改 NTFS_DBR 中 的 隐藏 扇 区 数 ) 。 


相 比 较 而 言 ,【 数 据 恢复 基本 思路 与 方法 (二 )] 要 比 [ 数 据 恢复 基本 思路 与 方法 (一 )] 更 为 


方便 快捷 。 
例 7.9 


【分 析 】 


通过 计算 机 管理 中 的 磁盘 管理 功能 附加 素材 文件 abcd74. vhd 成 一 个 物理 盘 ( 即 
磁盘 1) 后 ,第 4 个 分 区 所 对 应 逻辑 盘 ( 假 设 为 K 盘 ) 的 文件 系统 为 NTFS,NTFS_DBR 和 
NTFS_DBR 备份 均 被 破坏 ,要 求 恢复 盘 中 的 所 有 数据 。 


从 图 7.55 可 知 ,第 4 个 分 区 表 的 相对 扇 区 为 1187968 ,总 扇 区 数 为 905216; 在 分 区 表 中 
的 存储 形式 分 别 为 *80 20 12 00” 和 “00 DO 0D 00”; 由 于 分 区 表 存储 在 整个 硬盘 的 0 号 扇 区 ， 
所 以 K Æ NTFS_DBR 位 于 整个 硬盘 的 1187968 号 扇 区 。 

注 : 由 于 篇 幅 限 制 ,本 例 只 介绍 【数据 恢复 思路 与 方法 (一 )】, 而 【数据 恢复 思路 与 方法 
(二 )】 请 读者 自行 实践 。 

(1) 由 于 NFTS_DBR 和 NFTS_DBR 备份 均 被 破坏 ,需要 恢复 NTFS_DBR 的 相关 BPB 


参数 , 见 表 7. 21 所 列 。 
表 7.21 需要 计算 NTFS_DBR 的 BPB 参数 
字 节 偏 移 字 w 数 含 x 
0X0D 1 扇 区 数 / 簇 
0X1C 4 隐藏 肩 区 数 , 即 分 区 表 至 NTFS_DBR 扇 区 数 
0X28 8 总 扇 区 数 ,比分 区 表 中 的 总 扇 区 数 少 1 个 扇 区 
0X30 8 元 文件 $ MFT FRS 
0X38 8 元 文件 $ MFTMirr 开始 簇 号 
0X40 I 元 文件 $ MFT 每 条 记录 大 小 描述 
0X44 1 每 个 索引 节点 大 小 描述 


(2) 计算 每 个 徐 的 扁 区 数 。 


方法 是 : 通过 查找 元 文件 $ MFT 或 者 元 文件 $ MFTMirr 开始 特征 值 (特征 值 的 十 六 进 
制 代码 为 *46494C45”) ,得 到 元 文件 $ MFT 或 者 $MFTMirr 的 0 号 记录 ,从 元 文件 $ MFT 
或 者 $ MFTMirr 的 0 号 记录 80H 属性 获得 元 文件 $MFT 的 分 配 空间 (单位 : 字 节 ) 和 所 占 
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簇 数 ,从 而 计算 出 每 个 簇 的 扇 区 数 ( 注 : 计算 每 个 簇 的 扇 区 数 还 有 其 他 几 种 方法 ,请 读者 自行 
研究 )。 

(3) 计算 隐藏 扇 区 数 。 

日 于 K 盘 对 应 的 分 区 表 存 储 在 硬盘 0 S bi X. JA K 盘 对 应 MBR 分 区 表 中 的 相对 扇 区 可 
以 获得 该 值 ( 注 : 由 于 该 值 的 正确 性 系统 不 进行 校 验 ,所 以 ,该 值 也 可 以 不 计算 )。 

(4) 计算 总 扇 区 数 。 

方法 是 : 从 对 应 MBR 分 区 表 中 获得 总 扇 区 数 , 分 区 表 中 总 扇 区 数 减 1 即 得 到 该 值 。 

(5) 元 文件 $ MFT 开始 簇 号 。 

方法 是 : 从 元 文件 $ MFT 或 者 元 文件 $ MFTMirr 的 0 号 记录 80H 属性 数据 运行 列表 
获得 。 

(6) 元 文件 $ MFTMirr FRG 

方法 是 : 从 元 文件 $ MFT 或 者 元 文件 $ MFTMirr 的 1 号 记录 80H 属性 数据 运行 列表 
获得 。 

(7) 元 文件 $ MFT 每 条 记录 大 小 描述 。 

方法 是 : 通过 “每 个 簇 的 扇 区 数 ” 根 据 表 6. 5 获得 。 

(8) 每 个 索引 节点 大 小 描述 。 

方法 是 : 通过 “每 个 簇 的 扇 区 数 ” 根 据 表 6. 5 获得 。 

(9) 将 同一 版 本 NTFS_DBR 复制 到 NTFS_DBR 所 在 扇 区 号 ,并 按 表 7.21 修改 NTFS_ 
DBR 中 的 BPB 参数 。 

【操作 步骤 】 

步骤 1 和 步骤 2 与 例 7. 红 操作 步骤 (一 )】 中 步骤 1 和 步骤 2 相同 。 

步骤 3 从 图 7.55 可 知 ,第 4 个 分 区 的 DBR 位 于 整个 硬盘 的 1187968 号 扇 区 ,将 光标 移 
动 到 1187968 号 扇 区 ,1187968 号 已 不 再 是 NTFS_DBR 。 

步骤 4 查找 元 文件 $ MFT 或 者 元 文件 $ MFTMirr 的 0 号 记录 。 

将 光标 移动 到 1187968 号 扇 区 ,选择 菜单 栏 上 的 “搜索 ”一 “查找 Hex 数值 CH).…”, 出 现 
“Find Hex Values” 窗 口 , 在 “The following hex values will be searched:” 列 表 框 中 输入 
“46494C45”; 在 “Search: "下 拉 框 中 选择 “Down”; 选择 “Cond:“” 左 侧 的 复 选 框 ; 在 “offset 
mod” 右 侧 的 两 个 文本 框 中 分 别 输入 “512” 和 “0”; 单 击 “*OK” 按 钮 ; 在 1187984 号 扇 区 找到 ,如 
图 7.74 所 示 , 从 元 文件 $MFT 或 $MFTMirr 的 0 号 记录 80H 属性 可 知 ,系统 分 配给 元 文件 
$ MFT 的 空间 为 4456448 字 节 ,而 数据 运行 列表 为 “32 80 08 AA 26 01 00 B3”, 即 元 文件 
$ MFT 所 占 复数 为 2176 ,开始 簇 号 为 75434; 一 般 情况 下 ,每 个 扇 区 等 于 512 字 节 。 


áp: 


Partitioning style: MBR Mes, jons 


Offset € 7 8 

244120F0 00 4D 00 46 00 54 O (f. H 

24412100 00 48 00 00 00 01g (oO 00 00 01 00 1 
iginal | 24412110 DO 00 00 00 00 7F / 00 00 00 00 00 00 


24412120 ) oo oo oo oo oo [00 00 44 00 00 00 00 00 


24412130 00 00 00 00 OO 00 00 44 OD DO OO 00 OO . 


24412140 
24412150 


图 7.74 元 文件 $ MFT( 或 者 元 文件 $ MFTMirr) 的 0 号 记录 80H 属性 
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式 (6. 20) 可 知 : 


系统 分 配给 文件 的 空间 = 文件 所 占 簇 数 之 和 x 每 个 艇 的 扇 区 数 X 512 字 节 / B X 
4456448 字 节 = 2176 # X 每 个 簇 的 扇 区 数 X 512 字 节 / 扇 区 


所 以 ,每 个 簇 的 扇 区 数 二 4 


步骤 5 从 图 7.55 可 知 , 第 4 个 分 区 表 的 相对 扇 区 为 1187968 , 即 隐 藏 扇 区 数 为 1187968; 
第 4 个 分 区 表 中 的 总 扇 区 数 为 905216 ,所 以 ,NTFS_DBR 中 总 扇 区 数 为 905215 。 

步骤 6 从 元 文件 $MFT 或 者 元 文件 $MFTMirr 的 0 号 记录 80H 属性 数据 运行 列表 
(数据 运行 列表 为 *32 80 08 AA 26 01”) 可 知 ,元 文件 $ MFT 的 开始 簇 号 为 75434。 

步骤 7 将 光标 移动 到 1187986 号 扇 区 , 即 元 文件 $MFT 或 $MFTMirr 的 1 号 记录 ,如 
图 7.75 所 示 ,从 元 文件 $ MFT 或 者 元 文件 $ MFTMirr 的 1 号 记录 80H 属性 数据 运行 列表 
(11 02 04) 可 知 ,元 文件 $ MFTMirr 的 开始 簇 号 为 4。 


Parboning style MBR 


Joreateg [am [istseqor= 


Fa Parton 1 


ID'3a22abcd74 vha] 


FAT32 


Offset 
244124F0 
24412500 
24412510 
24412520 
24412530 
24412540 
24412550 


Default Edit Mode 
State: original 
Undo levet o 
Undo reverses: n/a 


15008 128 
01234567 
08 03 24 00 4D 00 46 00 
72 00 00 00 00 00 00 00 
01 00 40 00 00 00 01 00 
01 00 00 00 00 00 00 00 
00 10 00 00 00 00 00 00 
00 10 00 00 OO 00 00 00 
FF FF FF FF 00 00 00 00 


Total capacity. 1.0 GB 
1,073,742.336 bytes 


CS 1157985 o1 2097 ST 


7.75 元 文件 $ MFT( 或 者 元 文件 $ MFTMirr) 的 1 号 记录 80H 属性 


步骤 8 由 于 每 个 簇 的 扇 区 数 为 4, 由 表 6.5 可 知 , 元 文件 $MFT 每 条 记录 大 小 的 描述 为 
1024 字 节 ,在 NTFS_DBR 中 的 存储 形式 为 "*F6”; 而 每 个 索引 节点 大 小 的 描述 为 2 个 簇 ,在 


NTFS_DBR 中 的 存储 形式 为 “ 


02”, 


步骤 9 综合 步骤 3 一 步骤 8, 需 要 计算 NTFS_DBR 的 BPB 参数 见 表 7. 22 所 列 。 
表 7.22 需要 计算 NTFS_DBR 的 BPB 参数 
值 
字 节 位 移 含义 
数 十 进 制 | 十 六 进 制 存储 形式 

0X0D 1 “| 每 个 簇 的 扇 区 数 4 4 04 
0X1C 4 | 隐藏 扇 区 数 1187968 | 122080 80 20 12 00 
0X28 8 | 总 扇 区 数 905215 | DCFFF |FF|CF|oD|oo | 00 | 00 | 00 | 00 
0X30 8 | 元 文件 $ MFT FRS 75434 126AA |AA 26 | 01 | 00 | 00 | 00 | 00 | 00 
0X38 8 | 元 文件 $ MFTMirr Fihi S 4 4 04 | 00 | 00 | 00 | o0 | 00 | o0 | o0 
0X40 1 |$ MFT 每 条 记录 大 小 描述 ”| 1024 字 节 F6 F6 
OX44 1 | 每 个 索引 节点 大 小 描述 2 Mik 2 02 

步骤 10 将 1187968 号 扇 区 以 文件 的 形式 保存 ,文件 名 和 存储 位 置 自 定 。 将 同一 版 本 


NTFS_DBR 复制 到 1187968 号 扇 区 ,并 按 表 7. 22 中 的 参数 修改 NTFS_DBR 中 相应 的 BPB 
参数 ,如 图 7.76 所 示 ,然后 存盘 并 退出 WinHex, 


步骤 11 
K 盘 中 的 文件 和 文件 夹 。 


通过 计算 机 管理 中 磁盘 管理 功能 附加 abcd74. vhd, 到 资源 管理 器 中 可 以 查看 到 
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FARK npa J [| 
FOD 0000000 


A 
TT 
F 
D 


Partitioning style: MBR. 


TUE CESMETIWUFIñES IE 
| 改 为 AA 26 01 00 00 00 00 00 


x 


z5 


将 元 文件 SMFT 
每 条 记录 大 小 描 人 。 
述 修改 为 F6 


Undo reverses: ma 


m CF OD 00 00 00 00 00 


2 

$ 52 90 
00 00 

00 00 

26 01 


AA 00 00 00 00 00 


将 隐藏 记 区 数 修 ) 
改 为 80 20 12 00 


将 元 文件 9MPTMI 大和 人 a 
改 为 04 00 00 00 00 00 00 00 


24410040 
24410050 


1 

2 9 
0 O 
0 O 
60 
0 O 
0 0 


4 


(Sector 1187968 of 2097153 


图 7.76 修改 NTFS_DBR 中 相应 的 BPB 参数 


7.3 恢复 DBR 与 分 区 表 


在 7.1 节 中 ,以 DBR 中 的 相关 参数 为 依据 ,介绍 了 恢复 分 区 表 的 基本 思路 .方法 与 步骤 ; 
而 在 7. 2 节 中 , 则 以 分 区 表 中 的 相关 参数 为 依据 ,介绍 了 恢复 DBR 的 基本 思路 \ 方 法 与 步 又 。 

在 本 节 中 ,分 别 以 4 个 实例 的 形式 介绍 同时 恢复 FAT32_DBR 和 分 区 表 , FAT32_DBR、 
FAT32_DBR 备份 和 分 区 表 , NTFS_DBR 和 分 区 表 ,NTFS_DBR NTFS_DBR 备份 和 分 区 表 
的 基本 思路 方法 与 步骤 。 

例 7.10 通过 计算 机 管理 中 的 磁盘 管理 功能 附加 素材 文件 abcd75. vhd 成 一 个 物理 盘 
( 即 磁盘 1) 后 ,如 图 7.77, 从 图 7.77 可 知 ,磁盘 1 大 小 为 1.2GB, 已 联机 ,但 未 分 配 。 


ZD Bmw maV wa 
s+ >í BI 8 


e 


[wa [=m T[sməm | 
BSMF- 39MB 39MB 100%] 


Sael 

st 

1.20 GB 1.20 GB 
联机 未 人 本 


MILES 图 主 分 区 B rao 8 可 用 空间 G munaa 


7.77 附加 素材 文件 abcd75. vhd 后 的 磁盘 1 


素材 文件 abcd75. vhd 附加 成 磁盘 1 后 ,说 明 如 下 : 

(1) 在 磁盘 1 中 有 4 个 文件 系统 ,这 4 个 文件 系统 对 应 的 MBR 分 区 表 已 被 破坏 。 

(2) 第 1 个 文件 系统 为 FAT32,FAT32_DBR 被 破坏 ,而 FAT32_DBR 备份 完好 。 

(3) 第 2 个 文件 系统 为 FAT32,FAT32_DBR 和 FAT32_DBR 备份 均 被 破坏 。 

(4) 第 3 个 文件 系统 为 NTFS.NTFS_DBR 被 破坏 ,而 NTFS_DBR 备份 完好 。 

(5) 第 4 个 文件 系统 为 NTFS,NTFS_DBR 和 NTFS_DBR 备份 均 被 破坏 。 

(6) 假设 4 个 文件 系统 对 应 的 分 区 表 已 恢复 ,所 形成 的 逻辑 盘 符 依次 分 别 为 H 盘 、I 盘 、J 
盘 和 开盘 。 
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7.3.1 恢复 FAT32_DBR 与 分 区 表 


本 节 以 实例 的 形式 讨论 MBR 分 区 表 与 FAT32_DBR 同时 被 破坏 ,而 FAT32_DBR 备份 
即 完 好 的 数据 恢复 。 

例 7.11 通过 计算 机 管理 中 的 磁盘 管理 功能 附加 素材 文件 abcd75. vhd 成 一 个 物理 硬盘 
( 即 磁盘 1) 后 ,第 1 个 文件 系统 为 FAT 32, 对 应 的 分 区 表 和 FAT32_DBR 均 被 破坏 ,而 FAT32 
DBR 备份 完好 。 要 求 恢复 该 文件 系统 中 的 所 有 数据 。 

【分 析 】 

对 于 FAT32 文件 系统 而 言 ,如 果 FAT32_DBR 被 破坏 ,而 FAT32_DBR 备份 完好 ,可 以 
通过 FAT32_DBR 备份 来 恢复 FAT32_DBR; 最 后 恢复 FAT32 文件 系统 所 对 应 的 分 区 表 。 

【恢复 数据 基本 思路 与 方法 】 

(1) 查找 并 记录 下 FAT32_DBR 备份 所 在 扇 区 号 。 

(2) 查找 并 记录 下 FATI 表 和 FAT2 表 开 始 扇 区 号 。 

G) 从 FAT32_DBR 备份 获得 保留 扇 区 数 , 由 FATI1 表 开 始 扇 区 号 和 保留 扇 区 数 计算 出 
FAT32_DBR 所 在 扇 区 号 。 

(4) 通过 FAT32_DBR 备份 来 恢复 FAT32_DBR 。 

(5) 由 FAT32_DBR 所 在 扇 区 号 和 总 扇 区 数 , 计 算出 该 FAT32 文件 系统 在 整个 硬盘 0 号 
扇 区 的 MBR 分 区 表 , 并 将 分 区 表 填 人 到 整个 硬盘 0 号 扇 区 偏 移 0X01BE—0X01CD 处 。 

【操作 步骤 】 

步骤 1 启动 WinHex 软件 。 

步骤 2 使 用 WinHex 打开 该 物理 硬盘 。 

“文件 ”一 “打开 ”一 “选择 abcd75. vhd 文件 ”,“ 专 家 ”一 “映像 文件 为 磁盘 ”。 

步骤 3 查找 FAT32_DBR 备份 所 在 扇 区 号 。 

将 光标 移动 到 整个 硬盘 0 号 扇 区 ,选择 菜单 栏 上 的 “搜索 "一 “查找 Hex 数值 CH).…”, 出 
“Find Hex Values” 窗 口 ,在 “The following hex values will be searched:” 列 表 框 中 输入 
“EB5890”; 在 “Search: ”下 拉 框 中 选择 “Down”; 选择 “Cond:“” 左 侧 的 复 选 框 ; 在 “offset 
mod” 右 侧 的 两 个 文本 框 中 分 别 输入 *512” 和 “0”; 单 击 “OK” 按 钮 。 在 69 号 扇 区 找到 ,如 图 7. 78 
所 示 , 即 FAT32_DBR 备份 在 整个 硬盘 的 69 号 扇 区 。 


3Mes, 0+1 partions 


1234567 Fon UE EZ 
00008A00 T>. 68 90 4D 53 44 4F 53 35 2E 30 00 02 04[EE 16] ex.uspos: 
00008A10 p o9 00 00 F8 00 00 3F 00 FF 00 3F 00 00 DO 


00008A20 
00008A30 
00008A40 
oogosaso 


图 7.78 在 整个 硬盘 的 69 号 扇 区 找到 FAT32_DBR 备份 


步骤 4 ER FATI KA FAT? 表 开始 扇 区 号 。 
选择 菜单 栏 上 的 “搜索 ”>“ 查 找 Hex 数值 CH).…”, 出 现 *Find Hex Values” 窗 口 ,在 “The 
following hex values will be searched: ”列表 框 中 输入 “F8FFFF”; 在 “Search: ”下 拉 框 中 选择 
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“Down”; 选择 “Cond: ” 左 侧 的 复 选 框 ; 在 “offset mod” 右 侧 的 两 个 文本 框 中 分 别 输入 “512” 
和 “0”; 单 击 “OK” 按 钮 。 在 5725 号 扇 区 找到 , 按 “F3” 键 继续 向 下 查找 ,分 别 在 6990、662622 
和 663151 号 扇 区 找到 。 经 确认 ,第 1 个 文件 系统 FATI 表 开 始 扇 区 号 为 5725,FAT2 表 开 始 
扇 区 号 为 6990。 
注 : 662622 号 和 663151 号 扇 区 分 别 为 第 2 个 FAT32 文件 系统 FATI 表 和 FAT2 表 的 
开始 扇 区 号 。 由 式 (5. 10) 可 知 : 
FAT32 文件 系统 的 保留 扇 区 数 = FAT1 表 开 始 扇 区 号 一 FAT32_DBR 所 在 扇 区 号 
第 1 个 FAT32_DBR 所 在 扇 区 号 = FATI 表 开 始 扇 区 号 一 FAT32 文件 系统 保留 扇 区 数 
= 5725 — 5662 = 63 
PRS 将 光标 移动 到 整个 硬盘 63 号 扇 区 ,将 该 扇 区 以 文件 形式 保存 ,文件 名 和 存储 位 
置 自 定 ,将 69 号 扇 区 复制 到 63 号 扇 区 ; 如 图 7. 79 所 示 ,然后 存盘 。 


o| 00007E30 |01 00 06 OO 00 OO 00 00 00 00 00 00 00 00 OO OO .... 
00007E40 |80 00 29 16 93 53 2A 4E 4F 20 4E 41 4D 45 20 20 1.).IS#NO NAME 
E 00007E50 |20 20 46 41 54 33 32 20 20 20 33 C9 8E D1 BC F4| FAT32  3ÉINwé ~- 
z Twana > 


ertor 63 ot 2516993, 


7.79 通过 FAT32_DBR 备份 来 恢复 FAT32_DBR 


步骤 6 由 于 第 1 个 FAT32_DBR 在 硬盘 的 63 号 扇 区 ,而 总 扇 区 数 为 655425, 文 件 系统 
为 FAT32, 对 应 分 区 表 中 的 相对 扇 区 和 总 扇 区 数 分 别 为 “3F 00 00 00” 和 *41 00 0A 00”( 存 储 
形式 ); 所 以 ,第 1 个 FAT32 文件 系统 在 整个 硬盘 0 号 扇 区 的 MBR 分 区 表 为 “00 01 01 00 0C 
FE FF FF 3F 00 00 00 41 00 0A 00”, 

ERT 光标 移动 到 整个 硬盘 的 0 号 扇 区 ,将 分 区 表 填 人 到 硬盘 的 0 号 扇 区 偏 移 0XOLBE 一 
0X01CD 处 。 如 图 7.80 所 示 ,存盘 并 退出 WinHex。 


Partitic MBR 3 files, 0+1 partitions 
— EA HP KAIAAO S MKOXOIBE-0X0ICDa I A 


puazzabctrswq | Offset 0 1 2 7 8 9ABCDEF_ 7 
| 00 00 00 00 00 00 00 00 00 

00 00 00 00 00 00 vedo0 90 AE 04 C4 00 oofoo 01]. 

State: ongina 01 00 OC FE FF FF 3F 00 00 00 41 00 OA 00)00 OO . 


00000100 OO 00 00 OO OO 00 00 OO OO 00 00 OO 00 OO 00 OO . 
000001E0 DOO 00 00 00 00 00 00 OO 00 00 00 00 OO OO 00 OO . 


000001F0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA .... 
‘ 


=0| Block ma, 


图 7.80 恢复 硬盘 0 号 扇 区 的 第 1 个 分 区 表 


步骤 8 通过 计算 机 管理 中 的 磁盘 管理 功能 附加 abcd75. vhd 后 ,到 资源 管理 器 中 可 以 查 
看 到 H 盘 中 的 文件 和 文件 夹 。 

也 可 以 将 FAT32_DBR 备份 作为 FAT32_DBR 来 处 理 , 计 算 并 修改 FAT32_DBR 备份 中 
的 保留 扇 区 数 、 隐 藏 扇 区 数 和 总 扇 区 数 , 最 后 根据 FAT32_DBR 备份 所 在 扇 区 号 和 总 扇 区 数 
得 到 存储 在 硬盘 0 号 扇 区 的 分 区 表 , 并 将 分 区 表 填 人 到 硬盘 0 号 扇 区 0X01BE—0X01CD 处 即 
可 。 注 : 经 计算 ,FAT32_DBR 备份 中 的 保留 扇 区 数 、 隐 藏 扇 区 数 和 总 扇 区 数 这 3 个 参数 的 存 
储 形式 分 别 为 “18 16”“45 00 00 00” 和 “3B 00 0A 00”, 而 硬盘 0 号 分 区 表 为 “00 01 01 00 0C 


° 大 话 数 据 恢复 


FE FF FF 45 00 00 00 3B 00 0A 00”; 这 种 方法 请 读者 自己 实践 。 
7.3.2 恢复 FAT32_DBR、FAT32_DBR 备份 与 分 区 表 


在 7.3.1 节 中 讨论 了 分 区 表 与 FAT32_DBR 被 破坏 ,而 FAT32_DBR 备份 完好 的 数据 恢 
复方 法 。 本 节 以 实例 的 形式 讨论 FAT32_DBR、FAT32_DBR 备份 和 分 区 表 同 时 被 破坏 后 的 
数据 恢复 。 

例 7.12 通过 计算 机 管理 中 的 磁盘 管理 功能 附加 素材 文件 abcd75. vhd 成 一 个 物理 盘 
( 即 磁盘 1) 后 ,第 2 个 文件 系统 为 FAT32,FAT32_DBR 与 FAT32_DBR 备份 均 已 被 破坏 ,要 
求 恢复 该 文件 系统 中 的 所 有 数据 。 

【分 析 】 

如 果 FAT32_DBR 与 FAT32_DBR 备份 同时 被 破坏 ,可 以 将 同一 版 本 的 FAT32_DBR £ 
制 到 FAT32_DBR 所 在 扇 区 号 ,并 修改 FAT32_DBR 中 每 个 簇 的 扇 区 数 、 保 留 扇 区 数 、 隐 藏 扇 
区 数 .总 扇 区 数 和 每 个 FAT 表 占 用 扇 区 数 这 5 个 参数 来 恢复 FAT 32_DBR; 最 后 通过 FAT32_ 
DBR 中 总 扇 区 数 和 FAT32_DBR 所 在 扇 区 号 计算 得 到 该 文件 系统 所 对 应 的 MBR 分 区 表 。 

【数据 恢复 基本 思路 】 

(1) 计算 FAT32_DBR 所 在 扇 区 号 。 

(2) 计算 FAT32_DBR 中 每 个 簇 的 扇 区 数 、 保 留 扇 区 数 、 隐 藏 扇 区 数 . 总 扇 区 数 和 每 个 
FAT 表 占 用 扇 区 数 这 5 个 参数 。 

(3) 通过 FAT 32_DBR 所 在 扇 区 号 和 总 扇 区 数 , 计 算出 硬盘 0 号 扇 区 对 应 的 MBR 分 区 表 。 

【数据 恢复 基本 方法 】 

A) 通过 子 目录 的 特征 值 查找 并 获得 子 目录 开始 扇 区 号 和 开始 篮 号 ,通过 两 个 子 目录 开 
始 扇 区 号 和 开始 艇 号 ,计算 FAT32_DBR 中 每 个 簇 的 扇 区 数 。 

(2) 通过 FAT 表 开 始 扇 区 的 特征 值 ,查找 FATI 表 和 FAT2 表 开 始 扇 区 号 ,计算 每 个 
FAT 表 占 用 扇 区 数 。 

(3) 通过 第 1 个 分 区 表 中 的 相对 扇 区 和 总 扇 区 数 ,计算 第 2 个 文件 系统 FAT32_DBR 所 
在 扇 区 号 。 

(4) 由 于 要 恢复 的 分 区 表 存储 在 整个 硬盘 的 0 号 扇 区 ,所 以 ,FAT32_DBR 中 的 隐藏 扇 区 
数 为 FAT32_DBR 所 在 扇 区 号 。 

(5) 通过 FAT32_DBR 所 在 扇 区 号 和 FAT1 表 开始 扇 区 号 ,计算 保留 扇 区 数 。 

(6) 通过 每 个 FAT 表 占 用 扇 区 数 和 每 个 复 的 扇 区 数 ,估算 FAT32 数据 区 所 占 扇 区 数 。 

(7) 通过 FAT32 数据 区 所 占 扇 区 数 、 保 留 扇 区 数 和 每 个 FAT 表 占 用 扇 区 数 ,计算 
FAT32 总 扇 区 数 。 

(8) 将 FAT32_DBR 模板 复制 到 FAT32_DBR 所 在 扇 区 ,并 修改 FAT32_DBR 中 的 每 个 
簇 的 扇 区 数 、 保 留 扇 区 数 、 隐 藏 扇 区 数 .总 扇 区 数 和 每 个 FAT 表 占 用 扇 区 数 这 5 个 参数 。 

(9) 通过 FAT32_DBR 所 在 扇 区 号 和 总 扇 区 数 ,计算 整个 硬盘 0 号 扇 区 的 MBR 分 区 表 ， 
并 将 分 区 表 填 人 到 整个 硬盘 0 号 扇 区 偏 移 0X01CE—0X01DD 处 。 

【操作 步骤 】 

步骤 1 启动 WinHex 软件 。 

步骤 2 使 用 WinHex 打开 该 物理 硬盘 。 
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选择 “文件 ”一 “打开 ”一 “选择 abcd75. vhd 文件 ”,“ 专 家 ”一 “映像 文件 为 磁盘 ”。 

步骤 3 计算 每 个 簇 的 扇 区 数 。 

于 第 1 个 分 区 表 中 的 相对 扇 区 数 为 63 ,而 总 扇 区 数 为 655425; 而 4 个 分 区 表 均 存储 在 
整个 硬盘 的 0 号 扇 区 ; 第 1 个 分 区 结束 后 的 下 一 个 扇 区 为 第 2 分 区 的 开始 扇 区 ; 所 以 ,第 2 个 
文件 系统 FAT32_DBR 所 在 扇 区 号 为 655488 。 

将 光标 移动 到 655488 号 扇 区 ,选择 菜单 栏 上 的 “搜索 "查找 Hex 数值 (HD).…”, 出 现 
“Find Hex Values” 窗 口 , 在 “The following hex values will be searched:” 列 表 框 中 输入 
“2E2020”; 在 “Search: ”下拉 框 中 选择 “Down”; 选择 “Cond:“” 左 侧 的 复 选 框 ; 在 “offset 
mod” 右 侧 的 两 个 文本 框 中 分 别 输入 “512” 和 “0”; 单 击 OK 按钮 。 在 663688 号 扇 区 找到 第 1 
个 子 目 录 的 开始 扇 区 号 ,如 图 7. 81 所 示 。 


[D\a22abcd75; 


[Name _ [s] 录 开 始 高 16 位 
20 ER 
TERFARNKE E > 
origi 411020 |2E 2E 20 20 20 20 20 20 20 20 器 T 00 C1 17 S1 .. + Ñ. 
E in 14411030 64 48 64 48 00 00 18 51 64 48 00 00 00 00 00 00 dHdH...QdH...... 


Ofset = 0 Block ICA- ICA] Size: 


7.81 第 2 个 文件 系统 第 1 个 子 目录 开始 扇 区 


从 图 7. 81 可 知 ,第 1 个 子 目录 开始 扇 区 号 为 663688 ,开始 复 号 为 3。 按 F3 键 继续 向 下 查 
找 ,在 663728 号 扇 区 找到 第 2 个 子 目 录 的 开始 扇 区 号 ,如 图 7. 82 所 示 o 


SA 202m ar 00:08 18 51 . s< 
Undolevet | Á 64 48 00 00 00 00 00 00 dHdH...OdH...... 
=46| Block 1CA- 1CA] Size: 


7.82 第 2 个 文件 系统 第 2 个 子 目录 开始 扇 区 


从 图 7. 82 可 知 ,第 2 个 子 目 录 开始 扇 区 号 为 663728 ,开始 簇 号 为 8; 所 以 

每 个 簇 的 扇 区 数 — (第 2 个 子 目 录 的 开始 扇 区 号 一 第 1 个 子 目 录 的 开始 扇 区 号 ) — 
(第 2 个子 目录 的 开始 簇 号 一 第 1 个子 目 录 的 开始 簇 号 ) 
(663728 — 663688) 二 (8 一 3) 8 

步骤 4 计算 每 个 FAT 表 占 用 扇 区 数 。 

将 光标 移动 到 655488 号 扇 区 ,选择 菜单 栏 上 的 “搜索 >“ 查找 Hex 数值 (H)...”, 出 现 
“Find Hex Values” 窗 口 ,在 “The following hex values will be searched:” 列 表 框 中 输入 
“F8FFFF”; 在 “Search: "下拉 框 中 选择 “Down”; 选择 “Cond:“ 左 侧 的 复 选 框 ; 在 “offset 
mod” 右 侧 的 两 个 文本 框 中 分 别 输入 “512” 和 “0”; 单 击 OK 按钮 。 在 662622 号 扇 区 找到 
FATI 表 开 始 扇 区 号 ,如 图 7. 83 所 示 ; F F3 键 继 续 向 下 查找 ,在 663151 号 扇 区 找到 FAT2 
表 开 始 扇 区 号 ,如 图 7. 84 所 示 。 

每 个 FAT 表 占 用 扇 区 数 二 FAT? 表 开 始 扇 区 号 一 FATI1 表 开 始 扇 区 号 
= 663151 — 662622 = 529 

步骤 5 计算 第 2 个 文件 系统 FA T32 DBR 所 在 扇 区 号 和 隐藏 扇 区 数 。 

H T 1 个 分 区 表 中 的 相对 扇 区 为 63 ,而 总 扇 区 数 为 655425; 所 以 ,第 2 个 文件 系统 


全 大 话 数据 恢复 


Partitioning style MBR 


3 les, 1 parions. 
lea [Sue Teema Tar Tnasqa = i > 
PE] FAT1 的 开始 扁 区 | 215 ° - 
E 0 1 234567 89 ABCODE F| [Z = 
1438BC00 FB FF FF OF FF FF FF FF FF FF FF OF FF FF FF OF ayy .yyyyyyýý -Yyy - 
Default Edit 1438BC10 0S5 00 00 00 06 00 00 OO 07 00 00 OO FF FF FF OF 
State: 1438BC20 09 00 00 00 OA 00 00 OO FF FF FF OF 11 00 OO OO . 
Undo levet: 1438BC30 DD 00 00 00 DE OO 00 OO OF 00 OO OO 10 OO OO 00 . 
Undo 1438BC40 FF FF FF OF 12 00 00 OO 13 00 00 OO FF FF FF OF yyy. oe - 
ctor 662622 of 25166 Ofset 1438BC2F | =0_ Block 1CA- 1CA| Size- 1 


7.83 FATI 表 开 始 肩 区 前 80 字 节 的 值 


320MB 
315KB - 
| offset | 0 1 2 3 4 5 6 7 8 9 A B C D E F| Z| = 
143CDE00 F8 FF FF OF FF FF FF FF FF FF FF OF FF FF FF OF-_oyy.yyyyyyy.yyy. 
143CDE10 0S 00 00 00 06 00 00 00 07 00 00 00 FF FF FF OF . 
143CDE20 09 00 00 00 OA 00 00 00 FF FF FF OF 11 00 OO OO . 
143CDE30 OD 00 00 00 OE 00 00 00 OF 00 00 00 10 00 00 OO . 
143CDE40 FF FF FF OF 12 00 00 OO 13 00 00 00 FF FF FF OF 


p 
° 


7.84 FAT2 表 开 始 扇 区 前 80 字 节 的 值 


FAT32_DBR 所 在 扇 区 号 为 655488, 而 FAT32_DBR 备份 所 在 扇 区 号 为 655494。 
由 于 第 2 个 文件 系统 的 分 区 表 也 存储 在 整个 硬盘 的 0 号 扇 区 ,而 FAT32_DBR 所 在 扇 区 
号 为 655488 ,所 以 隐藏 扇 区 数 为 655488 。 
步骤 6 计算 保留 扇 区 数 。 
于 第 2 个 文件 系统 FAT32_DBR 所 在 扇 区 号 为 655488; FATI 表 开 始 扇 区 号 为 
662622; 所 以 
保留 扇 区 数 = FAT1 表 开 始 扇 区 号 一 FAT32_DBR 所 在 扇 区 号 
= 662622 — 655488 = 7134 

步骤 7 估算 FAT32 中 数据 区 所 占 扇 区 数 。 

由 于 每 个 FAT Kh 529 个 扇 区 ; 而 在 FAT 表 中 每 个 艇 号 项 占 4 字 节 ; 

FAT32 文件 系统 所 描述 的 最 大 总 簇 数 为 整个 FAT 表 的 簇 号 均 已 使 用 ,而 在 FAT32 文件 
系统 中 0 号 簇 项 和 1 号 簇 项 系统 保留 ,未 使 用 ; 

FAT32 文件 系统 的 最 大 总 复数 = 每 个 FAT 表 占 用 扇 区 数 X 512 字 节 / 扇 区 二 4 一 2 

= 529 X 512+4—2 
= 67710 
FAT32 文件 系统 所 描述 的 最 小 总 复数 为 FAT RIJA — BX RE Y Ai S Di, lI 
FAT32 文件 系统 的 最 小 总 簇 数 = (每 个 FAT 表 占 用 扇 区 数 一 1) X 
512 字 节 / 扇 区 二 4 十 1 一 2 
(529 一 1) X512 二 4 十 1 一 2 
一 67583 

因此 ,该 FAT32 文件 系统 总 复数 在 67583 至 67710 之 间 , 这 里 取 最 小 值 ,假设 FAT32 X: 
件 系统 使 用 的 总 簇 数 为 67583 。 
由 于 每 个 簇 的 扇 区 数 为 8, 可 以 估算 出 : 

FAT32 数据 区 所 占 扇 区 数 = FAT32 文件 系统 总 复数 X 每 个 簇 的 扁 区 数 

= 67583 X 8 
= 540664 
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步骤 8 计算 FAT32 总 扇 区 数 。 


FAT32 Š K% = FAT32 数据 区 所 占 扇 区 数 十 每 个 FAT 表 占 用 扇 区 数 >x 2 十 保留 扇 区 数 
= 540664 + 529 X 2 + 7134 
= 548856 
注 : 计算 第 2 个 FAT32 文件 系统 总 扇 区 数 的 方法 也 可 以 采用 第 3 个 文件 系统 开始 扇 区 
号 减 去 第 2 个 文件 系统 开始 扇 区 号 得 到 ,这 种 方法 更 为 准确 。 
步骤 9 综合 步骤 3 一 步骤 6 和 步骤 8, 计 算出 FAT32_DBR 的 参数 见 表 7. 23 所 列 。 


表 7.23 需要 计算 FAT32_DBR 的 BPB 参数 


字 节 位 移 | FHA & x n 
十 进 制 十 六 进 制 存储 形式 
0X0D 1 GES Y 8 08 08 
0XOE 2 保留 扇 区 数 7134 1BDE DE 1B 
oxic 4 隐藏 扇 区 数 655488 A0080 80 | o0 | oA | 00 
0X20 4 总 扇 区 数 548856 85FF8 F8 | 5F | 08 | 00 
0X24 4 每 个 FAT 所 占 扇 区 数 529 211 11 | 02 | o0 | OO 


步骤 10 恢复 FAT32_DBR。 

将 655488 号 扇 区 以 文件 的 形式 保存 ,文件 名 和 存储 位 置 自 定 ; 将 同一 版 本 FAT32_DBR 
复制 到 655488 Z B) PC ,并 按 表 7. 23 中 的 参数 修改 FAT32_DBR 中 相应 的 BPB 参数 ,如 图 7. 85 
所 示 , 然 后 存盘 。 


58 90 4D 53 44 4F 53 
MW oo o0 00 00 F8 00 00 
[Fs sr os 00[11 02 oo 00) 

14010030 |01 00 06 00 00 QO 00 

14010040 |80 00 29 58 17 


140 
每 个 FAT 所 占 肩 区 数 修改 为 11 02 00 


Default Edit Mode 
State originat 


00 00 00 00 00 09 
4F 20 4E 41 4D 


CL LET 


Undo levet: ° 
Undo reverses: n/a 


Q | 1.)X.0ÙNO NAME 


Total capacity 12 GB |4 G 


Ector 655488 ot 25169979 


7.85 恢复 FAT32_DBR 


步骤 11 恢复 FAT32_DBR 备份 。 
由 于 FAT32_DBR 备份 位 于 FAT32_DBR 后 面 第 6 个 扇 区 , 即 FAT32_DBR 备份 位 于 硬 
盘 的 655494 + B X ,将 该 扇 区 以 文件 的 形式 保存 ,文件 名 和 存储 位 置 自 定 ; 将 655488 号 扇 区 
复制 到 655494 号 扇 区 ,然后 存盘 , 即 恢复 FAT32_DBR 备份 。 
步骤 12 计算 分 区 表 , 并 恢复 该 逻辑 盘 所 对 应 的 分 区 表 。 
由 于 第 2 个 FAT32_DBR 在 655488 号 扇 区 ,总 扇 区 数 为 548856 ,文件 系统 为 FAT32; 对 
应 分 区 表 中 的 相对 扇 区 和 总 扇 区 数 分 别 为 “80 00 0A 00” #l“F8 5F 08 00”( 存 储 形式 ); 所 以 ， 
在 硬盘 0 号 扇 区 的 MBR 分 区 表 为 "00 01 01 00 0C FE FF FF 80 00 0A 00 F8 5F 08 00”, 将 光 
标 移 动 到 整个 硬盘 0 号 扇 区 ,将 分 区 表 填 人 到 硬盘 0 号 扇 区 偏 移 0X01CE—0X01DD 处 ,如 
图 7. 86 所 示 ,存盘 并 退出 WinHex。 

步骤 13 通过 计算 机 管理 中 的 磁盘 管理 功能 附加 abcd75. vhd 文件 后 ,到 资源 管理 器 中 
可 以 查看 到 工 盘 中 的 文件 和 文件 夹 。 


& 大 话 数据 恢复 


将 分 区 表 填 入 到 硬盘 0 号 鹿 区 
7 8 9 AB CDE F 7| 


OO 00 0000 00 00 00 00 00 


Offset 0 1— 
000001A0 00 00 
DetautEdtMode | 00000180 00 00 00 00 OO D> 
State: original | 0000010 

Undo level o| 00000100 oj 00 00 
Undoreverses: ma | 000001E0 00 00 DO OO 00 OO 00 OO 00 00 OO DO OO OO 00 00 
000001F0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA)... Ua 
. m , 
dor 0 of 2516993 Ofset 1DF =01Block ma Sze ma 


Total capacity. 1.2 GB 


7.86 恢复 硬盘 0 号 扇 区 的 第 2 个 分 区 表 


7.3.3 恢复 NTFS_DBR 与 分 区 表 


本 节 以 实例 的 形式 讨论 NTFS_DBR 与 MBR 分 区 表 同 时 被 破坏 ,而 NTFS_DBR 备份 即 
完好 的 数据 恢复 。 

例 7.13 通过 计算 机 管理 中 的 磁盘 管理 功能 附加 素材 abcd75. vhd 文件 成 一 个 物理 盘 
( 即 磁盘 1) 后 ,第 3 个 文件 系统 为 NTFS,NTFS_DBR 被 破坏 而 NTFS_DBR 备份 完好 ,要 恢 
复 第 3 个 文件 系统 中 的 所 有 数据 。 

【分 析 】 

对 NTFS 文件 系统 而 言 ,如 果 NTFS_DBR 被 破坏 ,而 NTFS_DBR 备份 完好 ,可 以 通过 
NTFS_DBR 备份 来 恢复 NTFS_DBR; 最 后 恢复 NTFS 文件 系统 所 对 应 整个 硬盘 0 号 扇 区 的 
MBR 分 区 表 。 

【数据 恢复 思路 与 方法 】 

(1) 查找 并 记录 下 NTFS_DBR 备份 所 在 扇 区 号 。 

(2) 从 NTFS_DBR 备份 获得 该 NTFS 文件 系统 总 扇 区 数 ,由 NTFS 总 扇 区 数 和 NTFS 
备份 所 在 扇 区 号 计算 出 NTFS_DBR 所 在 扇 区 号 。 

(3) 通过 NTFS_DBR 备份 来 恢复 NTFS_DBR 。 

(4) 通过 NTFS_DBR 所 在 扇 区 号 和 总 扇 区 数 ,计算 第 3 个 文件 系统 在 整个 硬盘 0 号 扇 区 
的 MBR 分 区 表 , 并 将 MBR 分 区 表 填 入 到 整个 硬盘 0 号 扇 区 偏 移 0X01DE—0X01ED 处 。 

【操作 步骤 】 

步骤 1 启动 WinHex 软件 。 

步骤 2 使 用 WinHex 打开 该 物理 硬盘 。 

选择 “文件 ”>“ 打 开 ” 一 “选择 abcd75. vhd 文件 ”,“ 专 家 ”一 “映像 文件 为 磁盘 ”。 

步骤 3 查找 NTFS_DBR 备份 所 在 扇 区 号 。 

将 光标 移动 到 655488 号 扇 区 ,选择 菜单 栏 上 的 “搜索 ”~~“ 查 找 Hex 数值 CH)...”, 出 现 “Find 
Hex Values” 窗 口 ,在 “The following hex values will be searched:” 列 表 框 中 输入 “EB5290”; 在 
“Search; “下 拉 框 中 选择 “Down”; 选择 “Cond: “前 左 侧 的 复 选 框 ; 在 “offset mod" 右 侧 的 两 文本 
框 中 分 别 输入 *512” 和 “0”; 单 击 “*OK” 按 钮 ; 在 1900671 号 扇 区 找到 ,如 图 7. 87 所 示 。 

从 图 7.87 可 知 ,NTFS_DBR 备份 存储 在 整个 硬盘 1900671 号 扇 区 ,而 NTFS 文件 系统 的 
总 扇 区 数 为 696319; 由 于 NTFS_DBR 备份 位 于 NTFS 逻辑 盘 的 最 后 一 个 扇 区 ,而 NTFS_ 
DBR 位 于 逻辑 盘 的 开始 扇 区 , 即 逻辑 盘 的 0 号 扇 区 ,总 扇 区 数 为 696319; 所 以 ,NTFS_DBR 
位 于 整个 硬盘 的 1204352 号 扇 区 。 
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AIK #696319 


z Offset | 0 6 9 ABCDEF 
erswdl | 5A0OFE00 EB 52 90 4E 54 46 ° 20 20 20 00 02 08 00 00 

Default Edit Mode 3A00FE10 

State: original | 3A00FE20 

Undo levet: o| 3A00FE30 55 71 00 OD 00 00 00 00 02 00 00 00 00 DO OO DD 


3A00FE40 
3A00FE50 


F6 00 00 00 01 00 00 00 Al 62 87 8C 95 87 8C A2 


eR.NTFS 


Uq. 
8.. 


7.87 NTFS_DBR 备份 所 在 扇 区 


步骤 4 通过 NTFS_DBR 备份 恢复 NTFS_DBR。 


将 光标 移动 到 1204352 5 B X ,将 该 扇 区 以 文件 的 形式 存储 ,存储 位 置 与 文件 名 自 定 。 将 
1900671 号 扇 区 复制 到 1204352 号 扇 区 , 即 通过 NTFS_DBR 备份 恢复 NTFS_DBR ,如 图 7. 88 


所 示 , 然 后 存盘 。 

Partitioning style: MBR- 3 MMes, 2 partitions | 

Z, Partition 1 FAT32 320 MB 63 a 

IDaazzabcd7swhdl Offset D 3 2 3.4 5 5 7 B S k B C D E TFRS = 
24C10000 EB 52 90 4E 54 46 53 20 20 20 20 00 02 08 00 OO | sR.NTFS 

Default Edit Mode 24C10010 |00 00 OD 00 00 F8 00 00 3F 00 FF 00 80 60 12 00 .....@..?. 

State: originai | 24C10020 |00 00 00 00 80 00 80 00 FF 9F OA 00 00 

Undo levet: o| 24c10030 |55 71 OO OO OO OO OO OO 02 OO OO 00 00 

Undoreverses: ma | 24C10040 |F6 00 00 00 01 00 00 00 Al 62 87 8C 95 
24C10050 |00 00 00 OO FA 33 CO 8E DO BC 00 7C FB bd 


图 7.88 将 1900671 号 扇 区 复制 到 1204352 号 扇 区 


步骤 5 由 于 第 1 个 NTFS_DBR 在 1204352 Z B P< ,总 扇 区 数 为 696319 ,文件 系统 为 
NTFS; 对 应 分 区 表 中 的 相对 扇 区 和 总 扇 区 数 分 别 为 “80 60 12 00” 和 “00 A0 0A 00”( 存 储 形 
式 ); 所 以 ,该 NTFS 文件 系统 在 整个 硬盘 0 号 扇 区 的 MBR 分 区 表 为 “00 01 01 00 07 FE FF 


FF 80 60 12 00 00 A0 0A 00”, 
将 光标 移动 到 整个 硬盘 0 5 BJ X<. f MBR 分 区 表 填 入 到 0 
0X01ED 处 ; 如 图 7. 89 所 示 ,存盘 并 退出 WinHex。 


号 扇 区 偏 移 0X01DE ~ 


Partitioning style: MBR- 4 files, 3 partitions 
= Partition 1 FAT32 320M8 63 E 
Offset 0 1 2 3 4 5 6 7 89AB C D E FBS g 
4a22uabcd75， 
p wa 000001A0 |00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 -a 
Default Edit Mode 00000180 |00 00 00 00 00 00 00 00 90 AE 04 C4 00 00 00 01|.. R 
State: original | 000001C0 |01 00 OC FE FF FF 3F 00 00 00 41 00 OA 00 00 01 ... 
Undo levet: o| 000001DO o1 00 oc FE FF FF 80 00 0A 00 Fe SE 08 00[00 01] ...BPyy 
Undoreverses: ma | 000001E0 [01 00 07 FE FF FF 60 60 12 00 00 A0 OA 00]00 OO ...pyyt 
000001F0 (00 00 00 00 OO 00 00 00 00 00 00 OO 00 00 55 AA è= 
Total capacity 1.2 GB | + 


ro ot 251699; Onset JEF = 0 Block 


7.89 恢复 硬盘 0 号 扇 区 的 第 3 个 分 区 表 


步骤 6 通过 计算 机 管理 中 的 磁盘 管理 功能 附加 abcd75. vhd 后 
看 到 丁 盘 中 的 文件 和 文件 夹 。 


7.3.4 恢复 NTFS_DBR NTFS_DBR 备份 与 分 区 表 


,到 资源 管理 器 中 可 以 查 


在 7.3.3 节 中 ,讨论 了 NTFS_DBR 与 MBR 分 区 表 被 破坏 ,而 NTFS_DBR 备份 完好 的 数 


& 大 话 数 据 恢复 


据 恢复 ; 本 节 以 实例 的 形式 讨论 NTFS_DBR NTFS_DBR 备份 和 MBR 分 区 表 被 破坏 后 的 数 
据 恢复 。 

例 7.14 通过 计算 机 管理 中 的 磁盘 管理 功能 附加 素材 文件 abcd75. vhd 成 一 个 物理 盘 
( 即 磁盘 1) 后 ,第 4 个 文件 系统 为 NTFS.NTFS_DBR.NTFS_DBR 备份 和 MBR 分 区 表 均 已 
被 破坏 ,要 求 恢 复 该 文件 系统 中 的 所 有 数据 。 

【分 析 】 

于 NTFS_DBR NTFS_DBR 备份 与 MBR 分 区 表 均 已 被 破坏 ,需要 解决 如 下 4 个 问题 : 
A) 计算 NTFS_DBR 所 在 扇 区 号 。 

(2) 计算 NTFS_DBR 中 每 个 簇 的 扇 区 数 、 隐 藏 扇 区 数 .总 扇 区 数 、 元 文件 $ MFT 开始 簇 
号 ,元 文件 $ MFTMirr 开始 簇 号 、 元 文件 $ MFT 每 条 记录 大 小 描述 和 索引 节点 大 小 描述 这 7 
个 参数 。 

(3) 将 同一 版 本 的 NTFS_DBR 复制 到 NTFS_DBR 所 在 扇 区 ,并 修改 NTFS_DBR 中 每 
个 复 的 扇 区 数 、 隐 藏 扇 区 数 .总 扇 区 数 等 参数 。 

(4) 通过 NTFS_DBR 所 在 扇 区 号 和 总 扇 区 数 , 计 算 该 NTFS 文件 系统 在 整个 硬盘 0 号 扇 
区 的 MBR 分 区 表 。 

【数据 恢复 基本 思路 与 方法 】 

(1) 查找 元 文件 $ MFT 或 $MFTMirr, 通 过 元 文件 $MFT 或 $MFTMirr 的 0 号 记录 
80H 属性 数据 运行 列表 ,计算 每 个 簇 的 扁 区 数 、 获 得 元 文件 $ MFT 的 开始 簇 号 ; 通过 1 号 记 
录 80H 属性 数据 运行 列表 获得 元 文件 $ MFTMirr 的 开始 簇 号 ; 判断 查找 到 的 这 两 条 记录 是 
属于 元 文件 $ MFT 还 是 属于 元 文件 $ MFTMirr。 

(2) 以 每 个 复 的 扇 区 数 为 依据 ,通过 表 6. 5 获得 元 文件 $ MFT 每 条 记录 大 小 描述 和 每 个 
索引 节点 大 小 描述 。 

(3) 以 元 文件 $ MFT 或 $MFTMirr 的 0 号 记录 所 在 扇 区 号 和 每 个 篮 的 扇 区 数 ,计算 0 
号 簇 在 整个 硬盘 中 的 开始 扇 区 号 , 即 元 文件 $ Boot 在 整个 硬盘 中 的 开始 扇 区 号 ,也 就 是 
NTFS_DBR 所 在 扇 区 号 ,从 而 得 到 隐藏 扇 区 数 。 

(4) 通过 元 文件 $ MFT 的 8 号 ( 即 描述 元 文件 $ BadClus 的 记录 )80H 属性 以 及 每 个 簇 
的 扇 区 数 , 计 算出 NTFS 文件 系统 总 扇 区 数 。 

(5) 通过 NTFS_DBR 所 在 扇 区 号 和 总 扇 区 数 ,计算 该 文件 系统 存储 在 整个 硬盘 0 5 3 < 
MBR 分 区 表 , 并 将 MBR 分 区 表 填 人 到 整个 硬盘 0 号 扇 区 偏 移 0X01EE—0X01FD 处 。 

【操作 步骤 】 

步骤 1 (EH WinHex 打开 该 物理 硬盘 ;“ 文 件 ”>“ 打 开 ”>“ 选 择 abcd75. vhd 文件 ”,“ 专 
家 ”一 “映像 文件 为 磁盘 ”。 

步骤 2 查找 元 文件 $MFT 或 $MFTMirr 的 0 号 记录 开始 扇 区 号 。 

将 光标 移动 到 1900672 号 扇 区 ,选择 菜单 栏 上 的 “搜索 ”一 * 查 找 Hex 数值 CH).…”, 出 现 
“Find Hex Values” 窗 口 , 在 “The following hex values will be searched:” 列 表 框 中 输入 
“24004D0046005400”, 即 $ MFT 的 Unicode 码 ; “Search: ”下拉 框 中 选择 “Down”; 单 击 
“OK” 按 钮 。 在 1900688 号 扇 区 找到 ,如 图 7. 90 所 示 。 

从 元 文件 $MFT 或 $MFTMirr 的 0 号 记录 80H 属性 数据 运行 列表 可 知 ,元 文件 
$ MFT 开始 簇 号 为 102058, 所 占 簇 数 为 2560; 系统 分 配给 元 文件 $ MFT 的 大 小 为 2621440 


= ws 
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Paritioning stye MBR —Wes.3panons 
= Patton 1 FAT32 系统 分 配给 人 的 大 人 位 字 节 ) ] - 


Offset 


ú 1 2 3 4 SF a * 
occa 04 03 24 00 4D 00 46 00 nan EBI x = 
Z ¿ | 80 oo o0 o0 48 00 00 00 01 OO OO OO 01 00 I. -b 
m OO 00 OO OO OO OO 00 00 — Zo oo oo oo oo o0 
40 00 00 00 00 00 00 00 mee 2 
n Ë 
——— Ua — 


图 7.90 元 文件 $ MFT 或 元 文件 $ MFTMirr 的 0 号 记录 


由 式 (6. 20) 可 知 : 

系统 分 配给 文件 的 空间 = 文件 所 占 簇 数 之 和 X 每 个 簇 的 扇 区 数 X 512 字 节 / 扇 区 

2621440 字 节 = 2560 簇 x 每 个 簇 的 扇 区 数 x 512 字 节 / 扇 区 

所 以 ,每 个 簇 的 扇 区 数 二 2 

步骤 3 将 光标 移动 到 元 文件 $ MFT 或 $ MFTMirr 的 1 号 记录 开始 扇 区 号 , 即 1900690 
号 扇 区 ,元 文件 $MFT 或 $MFTMirr 的 1 号 记录 80H 属性 如 图 7.91 所 示 。 


Partitioning syle: MBR 


Mam [ea [oe Joeaeg Ta Two |] 


F Partition 1 FAT32 
Offset 
Ma22vabcd75wh 
É q | 30124F0 pain 
Default Edit Mode 3A012500 
State: original | 3A012510 


Undo level: 0| 3A012520 40 00 00 00 00 00 00 00 
Undoreverses: ma | 3A012530 00 10 00 00 00 00 00 00 
3A012540 | 00_ 10 OO OO OO 00 OO 00 [I 


Total capacity: 12 GB | , 
[r 1900690 of 25T 


| Offset 3A012519] =0|Block 3A011FD6-3A011FD6 | Size: 


图 7.91 元 文件 $MFT 或 元 文件 $ MFTMirr 的 1 号 记录 


从 元 文件 $ MFT 或 $MFTMirr 的 1 号 记录 80H 属性 数据 运行 列表 可 知 ,元 文件 
$ MFTMirr 的 开始 簇 号 为 8, 占 4 个 簇 。 

步骤 4 判断 所 查找 到 的 这 两 条 记录 是 属于 元 文件 $ MFT 还 是 元 文件 $ MFTMirr? 

【方法 一 】 

从 0 号 记录 80H 属性 数据 运行 列表 可 知 , 元 文件 $MFT 开始 簇 号 为 0X018EAA; 从 1 
号 记录 80H 属性 数据 运行 列表 可 知 ,元 文件 $MFTMirr 开始 簇 号 为 0X08; 所 以 ,元 文件 
$ MFTMirr 存储 在 元 文件 $ MFT 之 前 ; 由 此 可 以 推断 ,这 两 条 记录 属于 元 文件 $ MFTMirr 
的 0 号 和 1 号 记录 。 

【方法 二 】 

由 于 每 个 簇 的 扁 区 数 等 于 2, 由 表 6. 2 可知, 元 文件 $ MFTMirr 记录 数 共 计 4 条 。 经 确 
认 , 元 文件 $ MFTMirr 记录 从 1900688 号 扇 区 至 1900695 号 扇 区 ,共计 8 个 扇 区 , 即 4 条 记 
录 ; 由 此 可 以 推断 ,这 4 条 记录 属于 元 文件 $ MFTMirr。 

步骤 5 计算 NTFS_DBR 在 整个 硬盘 中 的 扇 区 号 。 
由 于 元 文件 $ MFTMirr 开始 簇 号 为 8, 在 整个 硬盘 的 开始 扇 区 号 为 1900688( 注 : 是 元 文 
件 $ MFTMirr 的 0 号 记录 开始 扇 区 号 .而 不 是 元 文件 $MFTMirr 的 1 号 记录 开始 扇 区 号 )， 
每 个 复 的 扇 区 数 等 于 2。 
由 此 可 以 计算 ,0 号 簇 在 整个 硬盘 的 开始 扇 区 号 为 1900672, 即 NTFS_DBR 在 整个 硬盘 
中 的 扇 区 号 。 由 于 MBR 分 区 表 存储 整个 硬盘 的 0 号 扇 区 ,所 以 隐藏 扇 区 数 为 1900672。 
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步骤 6 由 于 每 个 簇 的 扇 区 数 等 于 2, 从 表 6.5 可 知 ,元 文件 $ MFT 每 条 记录 大 小 描述 为 
1, 每 个 索引 节点 大 小 描述 为 4。 

步骤 7 查找 元 文件 $MFT 的 8 号 记录 。 

将 光标 移动 到 1900672 号 扇 区 ,选择 菜单 栏 上 的 “搜索 ”一 “查找 文本 ...”, 出现“Find 
Text” 窗 口 , 在 “The following text string will be searched:” 列 表 框 中 输入 “$ BadClus”, 在 
Math case 下 方 的 列表 框 中 选择 “Unicode”; 在 “Search: “下拉 框 中 选择 “Down”; 单 击 OK 按 
钮 。1901024 号 扇 区 中 找到 ,经 确认 不 是 元 文件 $MFT 的 8 号 记录 , 按 F3 键 继续 向 下 查找 ， 
在 2104804 号 扇 区 找到 ; 经 确认 ,是 元 文件 $ MFT 的 8 号 记录 ,如 图 7. 92 所 示 。 


Parvtoning sie MBR 4 MMes, 3 partions 


Offset 0 1 234567 8 9 c p E F| 7 
| 403BC8F0 08 03 24 00 42 00 61 00 64 00 43 00 6C OO 75 00 
403BC900 73 OO 00 OO 00 OO 000080 00 00 00 18 00 00 00 sS 


403BC910 00 Ogee eae anag 

o| sosacs20 Bood 数据 运行 列表 
403BC930 00 0dhoorooroore af 

403BC940 48 00 OO OO OO 00% 

GƏ | 403Bc950 00 FC AF 12 00 00 00 99 

403BC960 24 00 42 00 61 00 64 00 


7.92 元 文件 $MFT 的 8 号 记录 80H 属性 


从 8 号 记录 80H 属性 的 数据 运行 表 可 知 , 坏 簇 号 为 306175; 即 该 NTFS 文件 系统 的 簇 号 
范围 为 0 一 306175, 最 后 一 个 簇 号 标记 为 坏 簇 , 即 该 NTFS 文件 系统 可 使 用 的 簇 号 范围 为 0 一 
306174, 共 计 306175 个 徐 。 由 于 每 个 簇 的 扁 区 数 为 2, 由 此 可 以 推断 ,306175 号 簇 只 有 一 个 扇 
区 ,因此 ,该 NTFS 文件 系统 的 总 扇 区 数 为 612351。 

步骤 8 综合 步骤 2 至 步骤 7, 计算 出 的 NTFS_DBR 中 BPB 参数 见 表 7.24 所 列 。 


表 7.24 已 经 计算 的 NTFS_DBR 的 BPB 参数 


字 节 值 
字 节 偏 移 * x 

数 十 进 制 | 十 六 进 制 存储 形式 
0X0D 1 BiP / E 2 2 02 
0X1C 4 | 隐藏 扇 区 数 1900672 | 1D0080 80 00 1D 00 
0X28 8 | 总 扇 区 数 612351 957FF |FF|57|09|00|00|00|00|00 
0X30 8 | 元 文件 $ MFT FARS 102058 18EAA |AA|8E|01 | 00 | 00 | 00 | 00 | 00 
0X38 8 | 元 文件 $ MFTMirr 开始 簇 号 8 8 08 | 00 | 00 | 00 |00 | o0 | 00 | 00 
0X40 1 |$ MFT 每 条 记录 大 小 描述 1 1 01 
0X44 1 | 每 个 索引 节点 大 小 描述 4 4 04 


步骤 9 通过 NTFS_DBR 的 模板 恢复 NTFS_DBR。 

将 光标 移动 到 1900672 Z B X ,将 1900672 号 扇 区 以 文件 的 形式 保存 ,文件 名 和 存储 位 置 
自 定 。 将 同一 版 本 NTFS_DBR 复制 到 1900672 号 扇 区 ,并 按 表 7. 24 中 的 BPB 参数 修改 
NTFS_DBR 中 相应 的 参数 ,如 图 7.93 所 示 ,然后 存盘 。 

步骤 10 将 1900672 号 扇 区 复制 到 2513023 号 扇 区 , 即 通过 NTFS_DBR 恢复 NTFS_ 
DBR 备份 ( 注 : NTFS_DBR 备份 是 否 存在 并 不 影响 NTFS 的 正常 使 用 ) 。 

步骤 11 由 于 第 2 个 NTFS_DBR 在 1900672 号 扇 区 ,总 扇 区 数 为 612351 ,文件 系统 为 
NTFS; 对 应 分 区 表 中 的 相对 扇 区 和 总 扇 区 数 分别 为 80 00 1D 00” 和 “00 58 09 00”( 存 储 形 
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POE XKISMETJFIRES ESE 
改 为 AA 8E 01 00 00 00 00 00 


OffsA 
[Daa22\abcd75 vhd] f 340100) 


将 元 文件 SMFT |3A010010 


FF 57 09 00 00 DO OO 00 


将 隐藏 扇 区 数 修 
改 为 80 00 1D00 


年 元 文件 $SMFTMirr 开 TTF = i; 
RARS 00 Moa He na 

7.93 修改 NTFS_DBR 中 相应 的 BPB 参数 
式 ); 所 以 ,该 NTFS 文件 系统 在 整个 硬盘 0 号 扇 区 的 MBR 分 区 表 为 “00 01 01 00 07 FE FF 
FF 80 00 1D 00 00 58 09 00”, 


将 光标 移动 到 整个 硬盘 0 号 扇 区 ,将 计算 好 的 MBR 分 区 表 填 人 到 整个 硬盘 0 5 D fu 
Ë 0X01EE~0X01FD 处 ,如 图 7.94 所 示 ; 然后 存盘 并 退出 WinHex, 


3A010050 


Total capacity. 12 GB |a 


Qector 1900672 of 2516993 


Parttoning style- MBR 4 files, 4 partitions 


Fa Partition 1 FAT32 32008 63 
Offset |0 1 2 3 4 5 7 89ABcDE FLZ “ 
000001A0 00 00 00 00 00 00 00 OO 00 00 00 00 00 00 00 00 国 

DefauEdtMode | 000001B0 00 00 00 00 00 00 00 00 90 AE 04 C4 00 00 00 01 

State originai | 000001C0 ol 00 OC FE FF FF 3F 00 00 00 41 00 OA 00 00 01 

Undo levet: o| O00001DO ,ol 00 OC FE FF FF 80 00 OA 00 F8 SF 08 00 00 01 


Undoreverses: mwa | 000001E0 01 00 07 FE FF FF 80 60 12 00 00 A0 OA 00 
000001F0 [01 00 07 FE FF FF 80 00 1D 00 00 58 09 00]55 AA Š .Us = 
Total capacity 12GB |a T 
(ayo or 25160093D | Ofset F =0 Block AAF-4AF| Size: 1 
图 7.94 恢复 硬盘 0 号 扇 区 的 第 4 个 分 区 表 


步骤 12 通过 计算 机 管理 中 的 磁盘 管理 功能 附加 abcd75. vhd 文件 后 ,到 资源 管理 器 中 
可 以 查看 到 K 盘 中 的 文件 和 文件 夹 。 


7.4 文件 被 删除 后 的 恢复 


[Dra22iabcd75 hd] 


7.4.1 删除 文件 的 基本 方法 


删除 文件 是 用 户 使 用 计算 机 时 最 为 常见 的 一 种 操作 ; 在 Windows 操作 系统 下 ,删除 文件 
的 基本 方法 主要 有 以 下 4 种 : 

(1) 直接 将 文件 删除 , 即 被 删除 文件 不 经 过 回收 站 。 

(2) 将 文件 放 和 人 回收 站 ,再 将 回收 站 清空 或 者 将 要 删除 的 文件 从 回收 站 中 再 次 删除 。 

(3) 将 文件 进行 剪 切 操作 ,到 目标 文件 夹 中 进行 粘贴 操作 。 

(4) 使 用 同名 文件 将 文件 进行 覆盖 操作 , 即 在 目标 文件 夹 中 复制 一 个 同名 文件 ,并 将 其 
覆盖 。 
文件 被 删除 后 ,能 否 被 完整 地 恢复 取决 于 已 删除 文件 被 破坏 的 程度 。 由 于 不 同 的 文件 系 
统 对 文件 的 管理 方式 不 同 , 这 里 只 讨论 在 FAT32 和 NTFS 文件 系统 中 ,文件 被 删除 后 的 
恢复 。 


& 大 话 数据 恢复 


7.4.2 文件 被 删除 后 的 基本 情况 (FAT32) 


在 FAT32 文件 系统 中 ,文件 被 删除 后 可 能 会 有 以 下 6 种 情况 。 

情况 1: 被 删除 文件 的 目录 项 仍然 保留 ,文件 内 容 连续 存储 且 没 有 被 覆盖 。 

情况 2: 被 删除 文件 的 目录 项 仍然 保留 ,文件 内 容 连续 存储 ,但 文件 内 容 的 部 分 或 者 全 部 
已 被 覆盖 。 

情况 3: 被 删除 文件 的 目录 项 仍然 保留 ,文件 内 容 不 连续 存储 ,文件 内 容 没 有 被 覆盖 o 

情况 4: 被 删除 文件 的 目录 项 已 被 覆盖 ,而 文件 内 容 连 续 存 储 且 没 有 被 覆盖 。 

情况 5: 被 删除 文件 的 目录 项 仍然 保留 ,但 目录 项 中 开始 簇 号 的 高 16 位 被 置 为 0000, 文 
件 内 容 连 续 存 储 且 没 有 被 覆盖 。 

情况 6: 被 删除 文件 的 目录 项 文件 内 容 的 部 分 或 者 全 部 已 被 覆盖 。 

对 于 情况 1 ,文件 恢复 的 成 功率 是 100% , 且 恢 复 后 的 文件 可 以 正常 使 用 。 

对 于 情况 2, 文 件 恢复 的 成 功率 也 是 100% ,但 恢复 后 的 文件 能 否 使 用 , 则 取决 于 被 删除 文 
件 内 容 被 覆盖 的 程度 。 

对 于 情况 3, 从 被 删除 文件 的 目录 项 中 获得 文件 的 开始 复 号 和 文件 的 大 小 ,从 文件 的 开始 
艇 号 开始 向 下 查找 空闲 篮 号 ,查看 空闲 簇 号 是 否 是 要 恢复 的 文件 内 容 , 最 后 将 要 恢复 的 文件 内 
容 进行 连接 ( 注 : 对 于 FAT32 文件 系统 而 言 , 对 于 不 连续 存储 的 文件 ,一 般 情 况 下 ,后 续 段 的 
簇 号 总 是 大 于 前 续 段 的 徐 号 ; 而 后 续 段 的 簇 号 小 于 前 续 段 的 簇 号 情况 非常 少见 )。 

对 于 情况 4, 可 以 使 用 按 文 件 类 型 的 方式 来 查找 并 恢复 文件 。 

对 于 情况 5, 如 果 人 逻辑 盘 的 容量 比较 小 ,可 以 使 用 尝试 法 来 估计 文件 开始 簇 号 的 高 16 位 
值 ; 也 可 以 查看 该 目录 项 的 相 邻 目录 来 估算 该 目录 的 高 16 位 值 。 

对 于 情况 6, 如 果 文 件 的 全 部 内 容 已 被 覆盖 ,将 无 法 恢复 ; 如 果 只 是 文件 内 容 的 部 分 被 覆 
盖 , 并 且 被 覆盖 的 部 分 文件 内 容 不 影响 文件 的 正常 使 用 ,恢复 文件 的 可 能 性 是 存在 的 。 


7.4.3 恢复 已 删除 的 文件 (FAT32) 


本 节 只 讨论 在 Windows 平台 下 ,使 用 WinHex 软件 恢复 已 删除 文件 (FAT32) 的 基本 思 
路 ,方法 与 步骤 ; 而 使 用 其 他 数据 恢复 软件 恢复 已 删除 文件 的 基本 思路 ,方法 与 步骤 ,请 读者 
自行 研究 。 下 面 以 实例 的 形式 介绍 两 种 恢复 已 删除 文件 的 基本 思路 ,方法 与 步骤 。 

【基本 思路 (一 )】 将 已 删除 的 文件 复制 到 指定 的 目录 中 。 

【方法 (一 )】 到 已 删除 文件 的 目录 所 在 文件 夹 中 ,找到 已 删除 文件 的 目录 项 ,选中 已 删除 
的 文件 目录 项 ,并 将 该 已 删除 的 文件 复制 到 指定 的 目录 中 。 

【步骤 (一 )】 

步骤 1 将 光标 移动 到 已 删除 文件 所 在 目录 ,然后 在 目录 中 找到 已 删除 文件 的 目录 项 。 

步骤 2 将 光标 移动 到 已 删除 文件 的 目录 项 处 , 布 击 ,从 弹出 的 快捷 菜单 中 选择 
“Recover/Copy...”, 出 现 “Select Target Folder” 窗 口 ,在 “Select Target Folder” 窗 口中 ,选择 
已 删除 文件 存放 的 文件 夹 ,然后 单 击 OK 按钮 。 

例 7.15 在 5.3.9 节 中 ,删除 了 J 盘 根 目录 下 的 a03. doc 文件 ,要 恢复 J 盘 根 目 录 下 已 删 
除 的 a03. doce 文件 ( 注 : 在 资源 管理 器 中 无 法 查看 到 已 删除 后 的 文件 名 ,文件 名 “? 03. doc” 
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例 5. 15 中 删除 丁 盘 根 目录 下 的 a03. doc 文件 后 遗留 下 的 文件 名 ; 而 J 盘 则 是 使 用 计算 机 管理 
中 的 磁盘 管理 功能 附加 abcd5. vhd 形成 的 虚拟 硬盘 ) 。 

【操作 步骤 (一 )】 

步骤 1 启动 WinHex, 并 打开 J 盘 。 

步骤 2 将 光标 移动 到 丁 盘 的 根 目录 下 ,找到 已 删除 文件 “a03. doc” 的 目录 项 ,如 图 7. 95 
所 示 ( 注 : a03. doc 文件 被 删除 后 ,在 WinHex 中 显示 的 文件 名 为 “? 03. doc”). 


Drive J: | 
ü 找到 要 恢复 的 文件 名 "?03.doc” farar 
a010 = 
3.doc doc 305KB 2015/03/1_ A 117036 
al11tdt 
| Offset [0 1 2 3 4 5 6 7 8 9 A B C D E F 


Filesystem: FAT32 | 03925800 DO CF 11 EO Al B1 1A E1 00 00 00 00 00 00 00 00 
Volume label: ABCD4 | 03925810 00 00 00 00 OO OO 00 OO 3E 00 03 00 FE FF 09 00 

03925820 06 00 00 00 00 00 00 00 00 00 00 00 ol 00 00 00 
< 03925830 |38 00 00 00 00 00 00 00 00 10 00 00 3A 00 00 00 

03925840 01 00 00 OO FE FF FF FF 00 00 00 00 37 00 00 00 
Un he 0 | 03925850 |FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 
Sector 117036 of 413696 | Offset 3925800 | =208 | Block'a | Size: na 


7.95 TEJA H R F ë #J E MERKI X: #F a03. doc 


步骤 3 将 光标 移动 到 “? 03. doc” 处 , 布 击 , 从 弹出 的 快捷 菜单 中 选择 “Recover/ 
Copy.…”; 如 图 7.96 所 示 。 


[mim | 
1 2 mun ago 19+1=20 fles, 26*7-33 dr 
Ta. I ° 
a01doc Viewer Programs » [2KB 201503719 093305 A 116490 
|2) 203 doc = 5 KB 20150379 09:33:05 A 117036 a 
aoo sn SEEE O — 
E qy Emo D 12 345867 69ABCDErF Jar> > 
Fie system: F O CF 11 EO Al B1 1A El 00 00 00 0 00 
Volume labet — AB 0 00 00 00 00 00 00 00 3E 00 03 E FF 
o0 00 00 00 00 00 o0 00 00 00 1 


出 搜索 IM)- | 

Hide sle 

Ca] k DO 00 00 OO 00 00 00 00 10 00 
1 

Li F 


Undo levet: 
Sector 117036 of 4136¢ Open 392581F | =0] Block 392583F - 392583F | Size: 1 


7.96 从 快捷 菜单 中 选择 “Recover/Copy.…” 


步骤 4 ”出现 “Select Target Folder” 窗 口 ,在 “Select 


ig sasa 
Target Folder” 窗 口中 ,选择 存储 文件 的 位 置 ,本 例 中 将 要 


恢复 的 文件 存储 到 D 盘 的 根 目录 下 ; 如 图 7. 97 所 示 , 单 击 “名 s 
“OK ”按钮 。 Bazı 


2 
À D.disk 3 
k Drivers 

À easyrecovery setup 


2 
D IQM Video 2 
Ji New concept English(book 2-1-39) 2 


SRS ADAIR H at F nf DR JE RA 00 3: fF, X: 
件 名 为 ”03. doc”. 

【基本 思路 (二 )】 将 已 删除 的 文件 恢复 到 删除 前 的 
状态 。 == == 

【方法 (二 )】 将 已 删除 文件 的 目录 项 恢复 到 删除 前 的 
状态 ,将 已 删除 文件 内 容 的 FAT 链表 恢复 到 删除 前 的 。 图 ”97 选择 文件 存储 的 位 轩 
RE. 

【步骤 (二 )】 

步骤 1 将 光标 移动 到 已 删除 文件 所 在 目录 中 ,在 目录 中 找到 已 删除 文件 的 目录 项 ,将 已 
删除 文件 目录 项 首 字 节 的 ASCIL 码 “E5” 修 改 为 可 显示 字符 的 ASCII 码 , 如 “41”。 
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步骤 2 ”从 已 删除 的 文件 目录 项 中 获得 已 删除 文件 的 开始 簇 号 和 所 占 字 节 数 ,并 计算 出 
该 文件 所 占 簇 号 ,恢复 该 文件 在 FAT1 KA FAT2 表 中 的 文件 分 配 链表 。 

【操作 步骤 (二 )】 

步骤 1 启动 WinHex; FIF JA. 

步骤 2 将 光标 移动 到 丁 盘 的 根 目录 下 ,找到 已 删除 文件 *a03. doc” hy ARM; 将 文件 目 
录 项 首 字 节 的 值 由 “E5” 改 为 *41”, 即 “A” 的 ASCI 码 , 如 图 7. 98 所 示 。 


`. 25 min ago 19+1=20 flles, 26+1=27 


rr pesson J A, EME aO doot 目录 项 ] 


JA05 47 


| ort 1234567 897 D Er JS] 
Filesystem: = FAT32 | 004003C0 30 32 20 20 20 20 20 54 58 7 .⁄ 18 6A 22 4C A02 TXT .j"L 
Volume label ABCD4 | 004003D0 \/3 46 73 46 00 00 2E 78 FA 3EUcf 00 00 00 00 00 sFsF...xúy...... 
004003E0 [ES 30 33 20 20 20 20 20 44 4F 43 20 18 6A 22 4C] Ü3 poc 
Be En) 004003F0 |73 46 2E 48[00 00]oc 49 73 42 sF.H...IsBIÓ.z.. 
- ——— n. 


(Eector 8193 ot 413696 


g 


| Ofset 4003E1| =48 | Block ma; Ste: 
7.98 恢复 已 删除 文件 的 文件 名 


步骤 3 从 图 7.98 可 知 ,已 删除 文件 a03. doc 的 开始 簇 号 为 54424( 即 0X0000D498) , 占 
用 空间 为 31232( 即 0X00007A00) 字 节 。 从 丁 盘 的 DBR 可 知 ,每 个 簇 的 扇 区 数 为 2。 由 式 (5. 20) 
可 知 ; 
a03. doc 文件 所 占 复数 = ROUNDUP( 文 件 所 占 字 节 数 /( 每 个 复 的 扇 区 数 x 512) ,0) 
= ROUNDUP(31232/(2 X 512) ,0) 
三 :型 
于 a03. doc 文件 开始 簇 号 为 54424 ,而 a03. doc 文件 内 容 在 J 盘 上 又 是 连续 存储 ,所 以 
结束 簇 号 为 54454。 即 a03. doc 文件 内 容 所 占 簇 号 为 54424 一 54454( 即 0XD498—0XD4B6) 。 
由 此 可 以 计算 出 a03. doc 文件 的 分 配 链表 ,如 图 7. 99 所 示 。 


D49855 fkm D49955 88791 D49A 58831 D4B5 55811 D4B6 号 簇 项 


0000D499 - 0000D49A | "| 0000D49B | es - 0000D4B6 OFFFFFFF 


图 7.99 a03. doc 文 件 的 文件 分 配 链表 ( 注 : 图 中 的 数据 均 为 十 六 进 制 ) 
其 分 配 链表 在 FAT1 KA FAT2 表 中 的 存储 形式 如 图 7. 100 所 示 。 


D498 RI D499 号 簇 项 D49A 号 能 项 D49B 号 能 项 
99 D4 00 00 9A D4 00 00 9B D4 00 00 9C D4 00 00 
D49C 38381 D49D D49E 8784 D49F 

9D D4 00 00 9E D4 00 00 9F D4 00 00 A0 D4 00 00 
D4B3 ARIA D4B4 8 D4B5 88 D4B6 FARI 
B4 D4 00 00 B5 D4 00 00 B6 D4 00 00 FF FF FF FO 


图 7.100 a03. doc 文 件 链表 在 FAT 中 的 存储 形式 ( 注 : 图 中 的 数据 均 为 十 六 进 制 ) 
步骤 4 恢复 a03. doc 文件 在 FATI1 表 中 的 链表 。 将 光标 移动 到 0XD498( 即 54424) 号 簇 

项 位 置 。 
操作 步骤 :“ 位 置 ” 一 “Go to FAT Entry”; 在 弹出 的 “Go to FAT Entry” 窗 口中 输入 


第 7 章 数据 恢复 D 


54424。 即 将 光标 移动 到 FATI K 54424 号 簇 项 位 置 ,在 54424 5 fk A E i A “99 D4 00 
00”, 在 54425 号 簇 项 位 置 输入 “9A D4 00 00”, 在 54426 号 簇 项 位 置 输入 “*9B D4 00 00”… ,在 
54453 号 簇 项 位 置 输入 *B6 D4 00 00”, 在 54454 号 簇 项 位 置 输入 “FF FF FF 0F”, 如 图 7.101 所 
示 , 然 后 存盘 ; 至 此 a03. doc XE FATI 表 中 的 链表 已 恢复 。 


| SC EE m 
5442415 PRII 
输入 99 D4 00 00 s í z 3 y z 5 


File system: FAT32 | 002ABESD = 
99 D4 00 00[9A D4 00 OO | 98 D4 00 oo 在 54454 号 禾 项 位 


Volume label: ABCD4 | 002A8E60 


Default Edi Mode 002A8E70 [9D D4 OO 00|sg Da oo 00|s Da 00 oo)) 输入 FF FF FF OF 
ginal | 002A8E80 A3 D4 00 OO|A4 T AT TO 
Undo levet o| 002ABE90 [AS D4 00 00|A6 D4 00 00 [A7 D4 00 00|A6 val | 
sss ma| oozAseao [a9 D4 00 00|AA D4 00 OO | AB D4 00 00 Ey N «b. 
Aloc. ofvisible drive space: 002ABEB0 [AD D4 00 00|aE D4 00 OO | AF D4 00 00|57 A 6.. 上 0..-0 
Cluster No ma 002ABEC0 |B1 D4 00 00|82 D4 00 00|B3 D4 00 00 [7 D4 00 00 . 
FAT 1 Glusler 54424 >54425 | 002ABEDO [Bs D4 00 00[86 D4 00 OO [FF FF FF OFF FF FF OF pO..%0. .yy 


Er 5447 ot 4136992 | omset uaE60| =153| Block 2ABED8 - 2A8ED8 _ Size: 
图 7.101 恢复 a03. doc 文件 的 链表 在 FAT1 表 中 的 存储 形式 


步骤 5 恢复 a03. doc 文件 在 FAT2 表 中 的 链表 ,从 丁 盘 的 DBR 可 知 ,每 个 FAT 表 占 
1585 个 扇 区 。 而 a03. doc 文件 的 链表 位 于 丁 盘 FATI 表 中 的 扇 区 号 为 5447。 所 以 ,a03. doc 
文件 的 链表 位 于 丁 盘 FAT2 表 中 的 扇 区 号 为 7032 ,将 光标 移动 到 7032 号 扇 区 。 

操作 步骤 :“ 位 置 " 一 “Go to Sector”; 在 弹出 的 “Go to Sector” 窗 口 选择 “Logical”, 在 
“Sector: ” 右 侧 的 文件 框 中 输入 7032, 即 将 光标 移动 到 7032 号 扇 区 。 在 54424 号 簇 项 位 置 输 
人 “99 D4 00 00”, 在 54425 号 簇 项 位 置 输入 “9A D4 00 00”, 在 54426 号 簇 项 位 置 输入 “*9B D4 
00 00”… ,在 54453 号 簇 项 位 置 输入 *B6 D4 00 00”, 在 54454 号 簇 项 位 置 输入 “FF FF FF 0F”， 
如 图 7.102 所 示 , 然 后 存盘 并 退出 WinHex。 至 此 a03. doc 文件 在 FAT2 表 中 的 链表 已 
恢复 。 


iman a = === = = 
Pism | ores j] o í 2 3 4 S 6 7 S 9 A B C DE FEA 


File system: FAT32 | 0036F050 .95 D4 00 00 96 D4 00 00 FF FF FF OF FF FF FF OF 
Volume label ABcD4 | 0036F060 
— sas 0036F070 F 
= orignal | 0036F080 [A1 D4 00 O 
Undo levet: o| 0036F090 [AS D4 00 0 
ee Wa | oo36Foa0 [A9 D4 00 oojaa Da oo 00 |AB D4 00 00[Ac D4 00 00 
Alloc. of visible drive space: D0036F0BO [AD D4 00 OD|AE D4 00 00 |AF D4 00 00|B0 D4 00 00 
Cluster No. wa | 0036F0co [B1 Da 00 00|62 D4 00 00 | B3 D4 0000|84 D4 00 00 
ch 54424 > 54425 | 0036F0D0 
edor 7032 01413596 > Onset 8E50 


图 7.102 恢复 a03. doc 文件 的 链表 在 FAT2 表 中 的 存储 形式 


步骤 6 到 丁 盘 的 根 目 录 下 可 以 看 到 已 恢复 的 “a03. doc” 文 件 。 


7.4.4 文件 被 删除 后 的 基本 情况 (NTFS) 


对 于 NTFS 文件 系统 ,文件 被 删除 后 可 能 会 有 以 下 5 种 情况 。 

情况 1: 被 删除 文件 在 元 文件 $ MFT 中 的 记录 仍然 保留 ,文件 记录 的 80H 属性 为 常 驻 
属性 。 

情况 2: 被 删除 文件 在 元 文件 $ MFT 中 的 记录 仍然 保留 ,文件 记录 的 80H 属性 为 非常 驻 
属性 ,文件 内 容 没 有 被 覆盖 。 

情况 3: 被 删除 文件 在 元 文件 $ MFT 中 的 记录 仍然 保留 ,文件 记录 的 80H 属性 为 非常 驻 
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属性 ,但 文件 内 容 部 分 或 者 全 部 已 经 被 覆盖 。 

情况 4: 被 删除 文件 在 元 文件 $ MFT 中 的 记录 已 经 被 覆盖 ,文件 记录 的 80H 属性 为 非常 
驻 属 性 ,但 文件 内 容 没 有 被 覆盖 。 

情况 5: 被 删除 文件 在 元 文件 $ MFT 中 的 记录 已 经 被 覆盖 ,文件 记录 的 80H 属性 为 非常 
驻 属 性 ,文件 内 容 的 部 分 或 者 全 部 已 经 被 覆盖 。 

对 于 情况 1 和 情况 2, 文 件 恢复 的 成 功率 是 100% ,恢复 后 的 文件 可 以 正常 使 用 。 

对 于 情况 3 ,文件 恢复 的 成 功率 也 是 100% ,但 是 恢复 后 的 文件 能 否 正常 使 用 取决 于 文件 
内 容 被 覆盖 的 程度 以 及 文件 内 容 的 重要 性 。 

对 于 情况 4, 可 以 使 用 按 文件 类 型 的 方式 来 恢复 ,恢复 后 的 文件 可 以 正常 使 用 。 

对 于 情况 5, 可 以 使 用 按 文件 类 型 的 方式 来 恢复 ,但 恢复 后 的 文件 可 能 无 法 使 用 。 


7.4.5 恢复 已 删除 的 文件 (NTFS) 


对 于 NTFS 文件 系统 ,文件 被 删除 后 可 以 使 用 其 他 数据 恢复 软件 来 进行 恢复 ,本 节 只 讨 
论 使 用 WinHex 软件 恢复 被 删除 文件 的 基本 步骤 。 

【数据 恢复 步骤 】 

步骤 1 将 光标 移动 到 回收 站 以 “S-1-5-21” 开 头 的 文件 夹 下 。 

步骤 2 找到 以 “$1 十 6 个 随机 字符 十 扩展 名 ”为 文件 名 的 文件 ( 注 : 该 文件 的 大 小 为 
0.5KB) 。 

步骤 3 从 该 文件 记录 的 80H 属性 中 可 以 查看 到 被 删除 文件 的 盘 符 、 路 径 和 文件 名 ,仔细 
确认 该 文件 是 否 是 要 恢复 的 文件 。 如 果 “ 是 ”, 转 向 步骤 4; 如 果 “ 不 是 ”, 则 转向 步骤 2, 继续 查 
找 下 一 个 以 “$1+6 个 随机 字符 十 扩展 名 ”为 文件 名 的 文件 。 

步骤 4 找到 以 “$R 十 6 个 随机 字符 十 扩展 名 ?为 文件 名 的 文件 ( 注 : 6 个 随机 字符 与 
“$I+6 个 随机 字符 ”相同 ) 。 

PRS 将 光标 移动 到 * $R 十 6 个 随机 字符 十 扩展 名 ”文件 处 , 右 击 ,从 弹出 的 快捷 菜单 
中 选择 “Recover/Copy...”, 出 现 “Select Target Folder” fi O ,在 “Select Target Folder” 窗 口中 
选择 文件 存放 位 置 , 然 后 单 击 "OK” 按 钮 即 可 。 

例 7.16 使 用 WinHex 软件 恢复 H f abcd3 文件 夹 中 已 删除 的 13. jpg 文件 ( 注 : H Æ 
为 使 用 计算 机 管理 中 的 磁盘 管理 功能 附加 abcd6. vhd 形成 的 虚拟 硬盘 ; 在 6. 10 节 例 6. 41 
中 ,删除 了 H 盘 abcd3 文件 夹 中 的 13. jpg 文件 ) 。 

【操作 步骤 】 

步骤 1 启动 WinHex, 并 打开 H 盘 。 

步骤 2 将 光标 移动 到 H #k $ RECYCLE. BINN S-1-5-21-894613213-3022215824-3749548889- 
1000 文件 夹 中 ,找到 “$IS30PKH. jpg” 文 件 并 将 光标 移动 到 该 记录 80H 属性 处 ,如 图 7. 103 
所 示 ; 从 该 记录 80H 属性 可 知 , 被 删除 文件 盘 符 、 路 径 和 文件 名 为 * 理 :\abcd3\13. jpg”, 正 是 
要 恢复 的 文件 所 在 的 盘 符 、 路 径 和 文件 名 。 

步骤 3 ”从 $IS30PKH. jpg 文件 的 记录 可 知 ,被 删除 的 文件 在 H # $ RECYCLE. BIN\ 
S-1-5-21-894613213-3022215824-3749548889-1000 文件 夹 中 的 文件 名 为 $ RS30PKH. jpg, 将 
光标 移动 到 $ RS30PKH. jpg 处 , 右 击 ,从 弹出 的 快捷 菜单 中 选择 "Recover/Copy...”, 出现 
“Select Target Folder” 窗 口 ,在 “Select Target Folder” 窗 口中 选择 文件 夹 ,这 里 选择 “F 盘 的 
abc 文件 夹 ”, 然 后 单 击 OK 按钮 。 
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RECYCLE BIMS-1521-894513213-3022215674-3749548889-1000_ 2 =: 
[an 一 一 n 


被 删除 文件 的 盘 符 、 路 径 和 文件 名 


266 KB 20150319 092647 
GE o7 


TTD 1006 55 


Offset | 0 1 2 3 4 S 6 7 
Fle Stem NTFS | 072094F0 DON 24 DO 49 DD 53 OD 
Volume labeta123456 | 07209500 48 OO 2E OD 6A 00 70 00 
mno | 07209510 80 00 OD 00 38 02 00 OD 
Defaut 07209520 20 02 00 00 18 00 00 00 
odgnal | 07209530 2ZDi26N04i00n00000000000 
o| 07209540 wg DO GN DD SC -ODr6l OD 
07209550 serDD 3ir0D 33 00 2E OD 


Sector 233546 of 608248 onset 720950F. 


图 7.103 7E H # $ RECYCLE. BINNS-1-5-21-894613213-3022215824-3749548889-1000 
文件 夹 下 找到 $IS30PKH.jpg 文件 


步骤 4 到 下 盘 的 abc 文件 夹 中 可 以 查看 到 已 恢复 的 * $ RS30PKH. jpg”, 该 文件 的 内 容 
为 已 删除 文件 13. jpg 的 内 容 。 


7.5 Windows XP 下 (快速 ) 格 式 化 后 的 数据 恢复 


逻辑 盘 被 格式 化 后 ,逻辑 盘 中 数据 恢复 的 成 功率 与 操作 系统 的 格式 化 操作 有 关 。 作 者 经 
过 大 量 的 实验 发 现 : 在 Windows XP 操作 系统 下 ,对 逻辑 盘 进 行 格式 化 和 快速 格式 化 后 ,对 原 
来 文件 系统 的 破坏 基本 相同 , 即 系统 会 在 逻辑 盘 的 相应 位 置 写 人 文件 系统 所 需要 的 数据 ,而 其 
他 地 方 的 数据 则 仍然 保留 ,这 给 恢复 数据 带 来 了 希望 。 

下 面 以 实例 的 方式 ,介绍 逻辑 盘 被 (快速 ) 格 式 化 后 的 数据 恢复 。 


7.5.1 FAT32 被 (快速 ) 格 式 化 成 NTFS 的 恢复 


作者 经 过 大 量 的 实验 发 现 : 在 Windows XP 下 ,如 果 逻 辑 盘 原 来 的 文件 系统 是 FAT32， 
被 (快速 ) 格 式 化 成 为 NTFS, 只 要 重建 (快速 ) 格 式 化 前 FAT32_DBR ,并 将 对 应 的 分 区 标志 
“07” 修 改 为 “0C” 或 “0B”, 就 可 以 恢复 (快速 ) 格 式 化 前 逻辑 盘 中 的 所 有 文件 ,但 被 NTFS 文件 
系统 元 文件 覆盖 的 文件 内 容 将 无 法 使 用 。 

例 7.17 使 用 计算 机 管理 中 的 磁盘 管理 功能 附加 素材 中 的 abcd76. vhd 文件 ,附加 后 为 
磁盘 1; 盘 符 为 H: ,在 资源 管理 器 中 可 以 看 到 H 盘 上 没有 任何 文件 ( 注 : H 盘 原 来 的 文件 系 
统 为 FAT32 ,在 Windows XP 下 被 (快速 ) 格 式 化 为 NTFS) 。 

【数据 恢复 基本 思路 与 方法 】 

(1) 修改 MBR 分 区 表 中 的 分 区 标志 ,将 分 区 标志 由 “07” 改 为 “0C” 或 “0B”。 

(2) 恢复 (快速 ) 格 式 化 前 FAT32_DBR。 要 恢复 FAT32_DBR ,一 般 情 况 下 ,需要 计算 
FAT32_DBR 中 每 个 簇 的 扇 区 数 、 保 留 扇 区 数 、 隐 藏 扇 区 数 等 参数 , 见 表 7. 25 所 列 。 


表 7.25 FAT32_DBR 中 的 BPB 部 分 参数 


字 节 偏 移 字 节 数 & A 字 节 偏 移 字 节 数 & A 
0X0D j AKA 0X20 4 总 肩 区 数 
0XOE š 保留 肩 区 数 0X24 4 每 FAT 所 占 扇 区 数 


0X1C 4 隐藏 扇 区 数 
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【操作 步骤 】 

步骤 1 使 用 计算 机 管理 的 磁盘 管理 功能 分 离 abcd76. vhd 文件 。 

步骤 2 启动 WinHex 软件 ,打开 abcd76. vhd 文件 并 映像 为 磁盘 。 

步骤 3 将 光标 移动 到 0 号 扇 区 ,查看 分 区 表 , 整 个 虚拟 硬盘 0 号 扇 区 的 分 区 表 为 “00 02 
03 00 07 FE 3F 19 80 00 00 00 00 78 06 00”; 由 此 可 以 推算 出 (快速 ) 格 式 化 成 NTFS 文件 系 
统 前 ,整个 虚拟 硬盘 0 扇 区 的 分 区 表 为 "00 02 03 00 0B FE 3F 19 80 00 00 00 00 78 06 00”; 
将 分 区 标志 由 “07” 修 改 为 “0B”, 并 存盘 ,如 图 7. 104 所 示 。 


Parttoning side MBR Zes, 1 partions 
Total capac. 21008 区 标志 改 为 0B p E F[Z g 
220,201,472 bytes 


00000190 | 6E 67) 


Bytes per setor. 512| 000001A0 67 20 
Surplus sectors at end: 2689 


ng system.Missin | 
8 operating syst 
em.. cf 
m.b? 


Partion: < 
Relative sedorNo: maļ 000001D0 00 00 OÓ 00 00 00 00 00 
000001E0 OO 00 00 00 00 00 00 00 O00 00 00 00 00 00 00 OO .. -d 

hexadecmal | 000001FO 00 00 00 00 00 00 00 00 00 00 00 00 00 00 SS AA .............4l Us 


Ofset 1CF =0 Block 2E5-2E5  Sue: 1 
图 7.104 ， 硬盘 0 号 扇 区 的 分 区 表 


步骤 4 从 分 区 表 可 知 ,FAT32 文件 系统 所 占 扇 区 数 为 423936 (BI 0X00067800 , 在 
FAT32_DBR 中 的 存储 形式 为 00 78 06 00) 。 

步骤 5 从 分 区 表 可 知 ,NTFS_DBR 在 整个 硬盘 的 128 F B X ,将 光标 移动 到 整个 硬盘 
的 128 号 扇 区 ,可 以 看 到 NTFS_DBR。 也 就 是 说 ,原来 的 FAT32_DBR 已 经 变 成 了 NTFS_ 
DBR。FAT32_DBR 备份 一 般 位 于 FAT32_DBR 后 面 的 6 号 扇 区 , 即 整个 硬盘 的 134 号 扇 区 。 
将 光标 移动 到 134 号 扇 区 ,可 以 看 到 也 不 再 是 FAT32_DBR 备份 ,所 以 ,( 快 速 ) 格 式 化 后 
FAT32_DBR 和 FAT32_DBR 备份 已 经 被 覆盖 。 因 此 ,隐藏 扇 区 数 为 128( 即 0X80, 在 FAT32_ 
DBR 中 存储 形式 为 80 00 00 00). 

步骤 6 Ai FATI 表 开 始 扇 区 ,使 用 WinHex 搜索 功能 中 的 “查找 Hex 数值 (T)…”, 在 
“Find Hex Values” 窗 口 的 “The following hex values will be searched:” 文 本 框 中 输入 
“F8FFFF”( 即 FAT1 表 开 始 值 ) ,在 “Search:? 列 表 框 中 选择 “Down”, 选 择 *Cond" 左 侧 的 复 选 
框 , 在 “offset mod” 右 侧 的 两 个 文本 框 中 分 别 输入 “512” 和 “0”, 单 击 OK 按钮 。 

步骤 7 在 整个 硬盘 的 6694 号 扇 区 找到 , 即 FATI1 表 开 始 扇 区 号 ,如 图 7. 105 所 示 。 


00 00 00 00 00 00 00 OO .. 


Partitioning style MBR 3 files, 1 partitions 
Sa Partition 1 NTFS 207 MB 128 ` 


DA32 NiFShg | Offset 01234567 89ABcDE F|] 

00344C00 F8 FF FF OF FF FF FF FF FF FF FF OF 05 00 00 00 Byy. 
Default Edit Mode 00344C10 FF FF FF OF 06 00 00 00 07 00 00 00 08 00 00 00 yyy 
State: original | 00344C20 09 00 00 00 OA 00 00 00 OB 00 00 00 OC OO OO 00|... ` 
OF 00 00 00 10 00 00 OO |.......... 


=248 | Block 10003 - 10003 | Size: 


Æ 7.105 在 整个 硬盘 6694 号 扇 区 找到 FATI 表 开 始 扇 区 


由 式 (5. 10) 可 知 : 
保留 扇 区 数 = FATI 表 开 始 扇 区 号 一 FAT32_DBR 所 在 扇 区 号 = 6694 — 128 = 6566 
步骤 8 按 F3 键 继续 向 下 查找 ,在 7507 号 扇 区 找到 ,存储 内 容 与 6694 号 扇 区 相同 , 即 
FAT2 表 开始 扇 区 号 ; 由 式 (5. 14) 可 知 : 
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每 个 FAT KH HAKA = FAT2 表 开 始 扇 区 号 一 FAT1 表 开 始 扇 区 号 
一 7507 一 6694 
= 813 
步骤 9 查找 子 目 录 开 始 扇 区 号 ,使 用 WinHex 的 搜索 功能 中 的 “查找 Hex 数值 CT)…”， 
在 “Find Hex Values” 窗 口 的 “The following hex values will be searched:” 文 本 框 中 输入 
“2E202020”( 子 目录 开始 值 的 ASCI 码 ) ,在 “Search:” 列 表 框 中 选择 “Down”, 选 择 “Cond: ” 
左 侧 的 复 选 框 ,在 “offset mod” 右 侧 的 两 个 文本 框 中 分 别 输入 *512” 和 “0”, 单 击 OK 按钮 。 
步骤 10 在 8324 号 扇 区 找到 第 1 个 子 目录 的 开始 扇 区 ,如 图 7. 106 所 示 , 从 图 7. 106 可 
知 , 该 子 目 录 的 开始 簇 号 为 03。 


子 目录 开始 繁 号 低 16 位 的 存储 形式 


Offset | Ü 4 5 6 7 89 D E FEZ . 
00410800 2E 20 2Ü 20 20 20 20 20 20 2 Ó 00 97 D8 4C Ë 国 
Default Edit Mode 00410810 7D 48 7D 48[00 00]D9 4c 7D 48[03 00]oo 00 00 00 )H)H..UL)H 


State: original | 00410820 2E 2E 20 20 20 20 20 20 20 20 20 10 00 97 D8 4C .. 
00410830 7D 48 7D 48 00 00 D9 4C 7D 48 00 00 00 00 00 00  }H}H..ÙL}H - 
+ 


=46_ Block 344023 - 344023 | Size: 1 


图 7.106 在 整个 硬盘 8324 号 肩 区 找到 第 1AF ERF ANE 
步骤 11 按 F3 继续 向 下 查找 ,在 8412 号 扇 区 找到 第 2 个 子 目录 的 开始 扇 区 如 图 7. 107 


所 示 , 从 图 7. 107 可 知 , 该 子 目录 的 开始 簇 号 为 25。 
子 目 录 开 始 艇 号 高 16 位 的 存储 形式 | 一 一 
0 


A 子 目录 开始 铸 号 低 16 位 的 存储 形式 


4 `S 8 A 


Offset 
00418800 
00418810 
00418820 2E 2E 20 20 20 20 20 20 20 20 20 10 00 55 D9 4C.. UÙ] 
00418830 |7D 48 7D 48 00 00 DA 4C 7D 48 00 00 00 00 00 00| HWH. .UYH,.,.... 
Ofset 418800 =46| Block 344D23- 344D23 | Size: 


original 
‘Sector 8412 of 430081 


E 7.107 在 整个 硬盘 的 8412 号 扇 区 找到 第 2 个 子 目录 的 开始 扇 区 


由 式 (5. 22) 可 知 : 每 个 得 的 扇 区 数 一 (8412 一 8324) + (25 一 3) 一 4 
步骤 12 综合 步骤 3 一 步骤 11,FAT32_DBR 中 部 分 BPB 参数 , 见 表 7. 26 所 列 。 


表 7.26 FAT32_DBR 中 的 部 分 BPB 参数 


字 节 偏 移 | FTA & x = 
十 进 制 十 六 进 制 存储 形式 
0X0D 1 AKA 4 4 04 
OXOE $ 保留 扇 区 数 6566 19A6 A6 19 
0X1C 4 隐藏 扇 区 数 128 80 80 | 00 | 00 | 00 
0X20 4 总 扇 区 数 423936 67800 0 | 78 | o6 | o0 
0X24 4 # FAT P ri A 813 32D 2D | 03 00 | 00 


步骤 13 将 同一 版 本 FAT32_DBR 复制 到 该 硬盘 的 128 号 扇 区 处 ,将 128 号 扇 区 中 的 每 
个 得 的 扇 区 数 、 保 留 扇 区 数 、 隐 藏 扇 区 数 .总 扇 区 数 、 每 个 FAT 所 占 扇 区 数 修改 为 表 7. 26 中 
FAT32_DBR 的 BPB 参数 ,如 图 7. 108 所 示 ,然后 存盘 并 退出 WinHex。 
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居 区 数 / 锐 改 为 04 rse | 保留 鹿 区 改 为 A6 19 


6 
B 58 90 4D 53 44 4F 
000100] 02 00 00 00 00 F8 00 
al | 00010020 
00010030 
00010040 


图 7.108 恢复 (快速 ) 格 式 化 前 FAT32_DBR 


步骤 14 使 用 计算 机 管理 中 的 磁盘 管理 功能 附加 abcd76. vhd 后 ,到 资源 管理 器 中 可 以 
看 到 H 盘 中 的 文件 和 文件 夹 , 如 图 7. 109 所 示 。 


J0- BER) Ji arz Da J sbc J mees Q) 
出 20 - 副本 (3) J ALFRONTE) j; a80 J abcd(1000426$9) À RH (3) 
Da0- BEM Jia Di aoras 县 abcdl2ooo1 文 作 Pii aaO] 
Da0- BEO Ji A13( 故 100 人 文件 夫 引 目录 (Jİ ASOOFFREOONRHRSIRF) J abcd alol-asoodaoof 广 几 。 胃 3FExf 夫 加 | 
Ji s0- BE (6) Jj a14 Jh a10000( 奈 故 10000 个 文件 0000~9999) J, abcd_al101-~a500( 子 放 1300 个 文件 ) 


in 


7.109 在 资源 管理 器 中 查看 H 盘 中 的 文件 夹 和 文件 


7.5.2 FAT32 被 (快速 ) 格 式 化 成 FAT32 的 恢复 


在 Windows XP F ,如 果 逻 辑 盘 原来 的 文件 系统 是 FAT32, 被 (快速 ) 格 式 化 成 FAT32， 
由 于 分 区 没有 调整 ,文件 系统 没有 变化 ,所 以 (快速 ) 格 式 化 后 分 区 表 不 会 发 生变 化 。FAT32_ 
DBR 中 的 总 扇 区 数 也 不 会 发 生变 化 。 

作者 做 了 大 量 的 实验 发 现 : 在 Windows XP 下 ,如 果 人 逻辑 盘 原 来 的 文件 系统 是 FAT32， 
被 (快速 ) 格 式 化 成 为 FAT32 后 ,可 能 会 出 现下 列 3 种 情况 。 

【情况 一 】 (快速 ) 格 式 化 前 的 FAT32_DBR 和 FAT32_DBR 备份 被 覆盖 ,而 (快速 ) 格 式 
化 前 FAT1 以 后 的 数据 完好 无 损 。 

【解决 方法 】 重建 格式 化 前 FAT32_DBR, 即 可 恢复 (快速 ) 格 式 化 前 逻辑 盘 中 的 全 部 
数据 。 

【情况 二 】 (快速 ) 格 式 化 前 FAT32_DBR 至 FAT1 表 之 间 的 数据 已 被 覆盖 ,而 (快速 ) 格 
式 化 前 FAT2 表 以 后 的 数据 完好 无 损 。 

【解决 方法 】 重建 (快速 ) 格 式 化 前 的 FAT32_DBR 和 FAT1l 表 , 可 恢复 (快速 ) 格 式 化 前 
逻辑 盘 中 的 全 部 数据 。 

【情况 三 】 (快速 ) 格 式 化 前 的 FAT32_DBR、FAT32_DBR 备份 FATI1 表 和 FAT? KE 
被 覆盖 , 即 FAT AE 2 号 艇 号 项 外 ,其 他 艇 号 项 的 值 已 被 置 为 "00000000”。 

【解决 方法 】 可 以 按 文件 类 型 来 恢复 所 需要 的 文件 。 

在 Windows XP 下 ,对 逻辑 盘 ( 快 速 ) 格 式 化 后 情况 一 ] 和 【情况 三 发 生 的 概率 比较 高 ， 
下 面 以 实例 的 形式 讨论 【情况 一 】: 
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例 7.18 使 用 计算 机 管理 中 的 磁盘 管理 功能 附加 素材 中 的 abcd77. vhd 文件 ,附加 后 的 
磁盘 为 磁盘 1; 盘 符 为 H: ,在 资源 管理 器 中 可 以 看 到 H 盘 上 没有 任何 文件 ( 注 : H 盘 原 来 的 
文件 系统 为 FAT32 ,在 Windows XP 下 被 (快速 ) 格 式 化 为 FAT32) 。 

【数据 恢复 基本 思路 与 方法 】 

恢复 (快速 ) 格 式 化 前 FAT32_DBR 的 BPB 参数 ,也 就 是 说 要 计算 并 恢复 FAT32_DBR 中 
每 个 得 的 扇 区 数 、 保 留 扇 区 数 和 每 个 FAT K h HA 

【操作 步骤 】 

步骤 1 使 用 计算 机 管理 中 的 磁盘 管理 工具 分 离 磁盘 1, 使 用 WinHex 打开 abcd77. vhd 
文件 ,并 映像 文件 为 磁盘 。 

步骤 2 将 光标 移动 到 整个 硬盘 0 号 扇 区 ,从 整个 硬盘 的 0 号 扇 区 可 知 ,该 硬盘 只 有 一 个 
分 区 表 , 如 图 7. 110 所 示 , 分 区 表 为 “00 02 03 00 0B FE 3F 31 80 00 00 00 00 68 0C 00”, 


Partitioning style: MBR 


= = T 3 files, 1 partitions 

tane Caed 一 lssedorz - 

$. Parton 1 FAT32 397 MB | 分 区 表 428 8 

ID: FAT32_FAT32 nd Offset 0 313 2 3 4 5 EY N O A B C D E FBS za 
000001A0 67 20 6F 70 65 72 61 74 69 NN 67 20 73 79 73 74 | g operating st 

DefauEdiWode | 00000180 65 6D 00 00 00 63 7B 9A 19 EN\87 As oo 00[00 02] em...c{1.4 

State: originai | 000001C0 [03 00 OB FE 3F 31 60 00 00 00 00 68 0c 00joo 00 


Undo levet: o| ooooolpo (‘00 00 00 OO DO OO OO DO 00 00 OO OO OO OO 00 00 
Undoreverses: ma| 000001E0 00 00 00 00 00 00 oo 00 00 00 00 OO OO 00 00 00|.. 
000001F0 OO 00 00 00 OO OO 00 OO 00 OO 00 00 OO OO 55 ri 

| Onset 1EC 27C- 24E | Size- 33 


图 7.110 硬盘 0 号 扇 区 的 分 区 表 
步骤 3 从 该 分 区 表 的 标志 可 知 ,该 分 区 表 对 应 的 文件 系统 为 FAT32,FAT32_DBR 在 
128 号 扇 区 。 
步骤 4 将 光标 移动 到 128 号 扇 区 ,如 图 7.111 所 示 , 从 图 7. 111 可 知 ,每 个 簇 的 扇 区 数 


为 4, 保留 扇 区 数 为 36, 隐 藏 扇 区 数 为 128, 总 扇 区 数 为 813056 ,每 个 FAT # h H B X 3 
为 1582 。 


ID VAT32_FAT32, Offset 01234567 89 
ë = | 00010000 EB 58 90 4D 53 44 4F 53 35 2E 
00010010 ‘02 00 00 00 00 F8 00 00 3F 00 


Undo Tever y| 00010030 
Undoreverses: ma | 00010040 


00010050 


Ofset 


7.111 格式 化 后 FAT32_DBR 中 的 BPB 参数 


计算 (快速 ) 格 式 化 前 FAT32_DBR 中 每 个 簇 的 扇 区 数 、 保 留 扇 区 数 、 隐 藏 扇 区 数 和 每 个 
FAT 表 占 用 扇 区 数 。 

步骤 5 计算 每 个 徐 的 扇 区 数 。 

操作 方式 : 查找 子 目 录 开 始 扇 区 号 ,使 用 WinHex 的 搜索 功能 中 的 “查找 Hex 数值 (T)…”， 
在 “Find Hex Values” 窗 口 的 “The following hex values will be searched:” 文 本 框 中 输入 
“2E202020”, 在 “Search: ”列表 框 中 选择 “Down”, 选 择 “Cond” 前 的 复 选 框 ,在 “offset mod” Ji 
两 个 文本 框 中 分 别 输入 “512” 和 “0”, 单 击 OK 按钮 。 

在 8328 号 扇 区 找到 第 1 个子 目录 的 开始 扇 区 号 ,如 图 7. 112 所 示 , 从 图 7. 112 可 知 ,第 1 


& 大 话 数据 恢复 


个 子 目录 的 开始 簇 号 为 03。 
RT ds 禾 号 低 16 位 的 存储 形式 ] 
| offset | 0 4567 89 AB z E 


EAA TT [zF 20 20420 20 20 20 20 20 20 10 Z7 6k 95 SD T 

DofautEdtMode „| 00411010 | 8C 48 gc 48[00 00]97 so sc 4e[o3 00] OO OO OO OO IHIH..IP 
originai | 00411020 2E 2E 20 20 20 20 20 20 20 20 20 10 00 OA 96 50 .. 

o| 00411030 |8C 48 8C 48 00 00 97 50 BC 48 00 00 00 00 00 00| IHIH. 

Onset 


411000, = 46 Block 


Ma | Ste: 


7.112 第 1 个 子 目 录 的 开始 扇 区 
按 F3 键 继续 向 下 查找 第 2 个 子 目录 开始 扇 区 号 ,在 8344 号 扇 区 找到 ,如 图 7. 113 所 示 ， 


从 图 7.113 可 知 ,第 2 个子 目录 的 开始 簇 号 为 05。 


子 目 录 开始 簇 号 低 16 位 的 存储 形式 


T34567 89AB 

Q 20 20 20 20 20 20 20 1D/< 
oa7 so sc 48 [05_00] 

oñginal | 00413020 | 2E 2E 20 20 20 20 20 20 20 20 20 10 00 2F A6 50|.. 

00413030 BC 48 8C 48 00 00 A7 50 BC 48 00 OO 00 00 00 00 IHIH..SPIH...... - 


Sector 8344 of 819201 =45] Block Ma Size: 


7.113 第 2 个 子 目录 的 开始 扇 区 


式 (5.23) 可 知 : 
每 个 簇 的 扇 区 数 = (8344 — 8328) + (5 一 3) = 8 

步骤 6 将 光标 移动 到 硬盘 0 号 扇 区 ,查找 FAT1 表 开 始 扇 区 号 。 使 用 WinHex 搜索 功 
能 中 的 “查找 Hex 数值 (T)…”, 在 “Find Hex Values” 窗 口 的 “The following hex values will 
be searched: ” X% 4E tP ff A “F8FFFF” (BU) FAT1 表 开 始 值 ), 在 “Search:” 列 表 框 中 选择 
“Down”, 选 择 “Cond” 左 侧 的 复 选 框 ,在 “offset mod” 右 侧 的 两 个 文本 框 中 分 别 输入 “512” 和 
“0”, 单 击 OK 按钮 。 

步骤 7 在 整个 硬盘 的 164 号 扇 区 找到 ,如 图 7.114 所 示 , 从 图 7. 114 可 知 ,0 簇 号 项 、1 
簇 号 项 和 2 簇 号 项 的 值 (存储 形式 ) 分 别 为 *“F8 FF FF 0F”“FF FF FF 0F” 和 “FF FF FF OF”, 
其 他 簇 号 项 的 值 (存储 形式 ) 均 为 "00 00 00 00”, 所 以 只 有 2 号 艇 被 使 用 , 即 被 根 目 录 使 用 ,其 
他 簇 号 均 未 被 使 用 ; 由 此 可 以 推断 ,该 扇 区 为 快速 格式 化 后 新 FAT32 文件 系统 FAT1 表 开始 
扇 区 号 。 


Partitioning style: 


00014810 00 00 00 00 D 00 00 w Sa 

00014820 00 00 00 00 00 00 00 00 00 00 00 00 00 

00014830 00 00 00 00 00 00 00 00 00 00 00 00 OP 
=0 Blode 


288 SAEGER) 


图 7.114 格式 化 后 FAT1 表 开 始 扇 区 前 64 字 节 


步骤 8 按 F3 键 继续 向 下 查找 ,在 1746 号 扇 区 找到 ,其 存储 内 容 与 164 号 扇 区 相同 。 由 
此 可 以 推断 ,快速 格式 化 后 新 FAT32 文件 系统 FATI 表 占 用 扇 区 号 范围 为 164 一 1745 ,而 新 
FAT32 文件 系统 FAT2 表 占 用 扇 区 号 范围 为 1746 一 3327。 
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步骤 9 按 F3 键 继续 向 下 查找 ,在 6746 号 扇 区 找到 ,如 图 7.115 所 示 , 从 图 7.115 可 知 ， 
区 的 2 号 簇 项 至 127 簇 号 项 已 被 使 用 。 


= 
= 


Partitioning style MBR 3ñies,1 


Z Partition 1 FAT32 397MB 128 


ID'abcd77abcd77s Offset 


0034B400 
0034B410 

0034B420 [EF FF FF OF|FF FF FF OF | FF FF FF OF|EF FF FF OF | yyy .yyy .yyy. 
0034B430 IY 


00348440 [14 00 00 OO|FF FF FF OF | FF FF FF TF 
00348450 


00348460 


Default Edit Mode 

State: original 
Undo levet: 0 
Undo reverses: n/a 


Total capacig00 MB 
419,430,912 bytes |, M Ma 


Edtor 6746 ot 819201 


7.115 格式 化 前 FATI 表 开 始 扇 区 前 96 字 节 


将 光标 移动 到 6747 和 6748 号 扇 区 .发现 6747 和 6748 号 扇 区 所 存储 的 得 号 项 已 被 使 用 。 

将 光标 移动 到 6749 号 扇 区 ,发 现 6749 号 扇 区 只 使 用 了 7 个 簇 号 项 ( 即 384 簇 号 项 至 390 
簇 号 项 ) ,其 他 簇 号 项 均 未 使 用 。 

步骤 10 f F3 键 继续 向 下 查找 ,在 7533 号 扇 区 找到 ,其 存储 内 容 与 6746 号 扇 区 相同 。 
7534 号 扇 区 存储 内 容 与 6747 号 扇 区 相同 ; 7535 号 扇 区 存储 内 容 与 6748 号 扇 区 相同 ; 7536 
号 扇 区 存储 内 容 与 6749 号 扇 区 相同 ;, 以 此 类 推 。 
由 此 可 以 推断 , (快速 ) 格 式 化 前 FATI 表 开 始 扇 区 号 为 6746,FAT2 表 开 始 扇 区 号 为 
7533; 由 式 (5.14) 可 知 : 
每 个 FAT 所 占 肩 区 数 = FAT2 表 开 始 扇 区 号 一 FAT1 表 开 始 扇 区 号 = 7533 一 6746 = 787 

因此 ,( 快 速 ) 格 式 化 前 ,H 盘 FATI 表 占 用 扇 区 号 范围 为 6746 一 7532 ,而 FAT2 X h HIA 
区 号 范围 为 7533 一 8319 。 

步骤 11 由 于 (快速 ) 格 式 化 前 FATI 表 开 始 扇 区 号 为 6746,FAT32_DBR 所 在 记 区 号 为 
128 ,由 式 (5.10) 可 知 ; 

保留 扇 区 数 = FATI 表 开 始 扇 区 号 一 FAT32_DBR 所 在 扇 区 号 = 6746 — 128 = 6618 

步骤 12 ”综合 步骤 5 .步骤 10 和 步骤 11, (快速 ) 格 式 化 前 ,H 盘 FAT32_DBR 中 每 个 簇 
的 扇 区 数 为 8、 保留 户 区 数 为 6618、 每 个 FAT 表 占 用 扇 区 数 为 787( 注 : 这 3 个 BPB 参数 在 
FAT32_DBR 中 的 存储 形式 分 别 为 “08”“DA 19” 和 “13 03 00 00”). 

步骤 13 将 光标 移 到 128 号 扇 区 ,将 该 扇 区 以 文件 的 形式 保存 ,存储 位 置 和 文件 名 自 定 。 
将 每 个 复 的 扇 区 数 修改 为 8、 保 留 扇 区 数 修改 为 6618 和 每 个 FAT 表 占 用 扇 区 数 修改 为 787， 
如 图 7.116 所 示 ; 然后 存盘 并 退出 WinHex。 


[N 每 个 FAT 表 所 占 肩 区 数 feeles{ 每 个 


00010000 
00010010 

originai | 00010020 
00010030 01 00 06 00 ao 00 00 00 
00010040 BO 00 29 F2 39 OE 00 20 
00010050 20 20 46 41 54 33 32 20 


E 7.116 恢复 (快速 ) 格 式 化 前 的 FAT32_DBR 


使 大 话 数据 恢复 


步骤 14 使 用 计算 机 管理 中 的 磁盘 管理 功能 附加 abcd77. vhd 文件 后 ,到 资源 管理 器 中 
可 以 看 到 H 盘 根 目录 下 的 文件 和 文件 夹 。 


7.5.3 NTFS 被 (快速 ) 格 式 化 成 FAT32 的 恢复 


在 Windows XP 下, 如果 人 逻辑 盘 原 来 的 文件 系统 是 NTFS, 被 (快速 ) 格 式 化 成 FAT32 X 
件 系 统 , 由 于 分 区 没有 调整 ,分 区 标志 会 由 “07” 变 为 “0B” 或 “0C”。 

存储 在 逻辑 盘 0 号 扇 区 至 2 号 能 之 间 的 数据 被 覆盖 ,而 2 号 簇 以 后 的 数据 仍然 保留 。 

例 7.19 使 用 计算 机 管理 中 的 磁盘 管理 工具 附加 素材 中 的 abcd78. vhd 文件 ,附加 后 的 
磁盘 为 磁盘 1; 盘 符 为 H. ,在 资源 管理 器 中 可 以 看 到 H 盘 上 没有 任何 文件 ( 注 : H 盘 原 来 的 
文件 系统 为 NTFS, 在 Windows XP 下 被 (快速 ) 格 式 化 为 FAT32) 。 

【恢复 基本 思路 与 方法 】 

恢复 (快速 ) 格 式 化 前 NTFS_DBR 的 BPB 参数 ; 也 就 是 说 ,要 计算 并 恢复 (快速 ) 格 式 化 
前 NTFS_DBR 中 每 个 簇 的 扇 区 数 .总 扇 区 数 、 元 文件 $MFT 开始 簇 号 、 元 文件 $ MFTMirr 
开始 簇 号 、 元 文件 $ MFT 每 条 记录 大 小 描述 和 每 个 索引 节点 大 小 描述 这 6 个 参数 。 

由 于 (快速 ) 格 式 化 后 FAT32 文件 系统 2 号 簇 以 后 的 数据 仍然 保留 ,也 可 以 通过 NTFS_ 
DBR 备份 来 恢复 (快速 ) 格 式 化 前 的 NTFS_DBR ,本 例 主要 介绍 通过 NTFS_DBR 备份 来 恢复 
(快速 ) 格 式 化 前 的 NTFS_DBR 。 

【操作 步骤 】 

步骤 1 使 用 计算 机 管理 中 的 磁盘 管理 工具 分 离 磁盘 1, 使 用 WinHex 打开 abcd78. vhd 
文件 ,并 映像 文件 为 磁盘 。 

步骤 2 将 光标 移动 到 整个 硬盘 的 0 号 扇 区 ,从 整个 硬盘 的 0 号 扇 区 可 知 , 该 磁盘 只 有 一 
个 分 区 表 , 将 分 区 标志 由 “0B” 修 改 为 “07” 后 ,然后 存盘 ,如 图 7.117 所 示 。 


Zmes, 1 parior 


DD NTFS Pazm Offset | 0 I 567 8 ç p E FZ | 
000001A0 67 20 €s 72 61 74 69 6E\ |7 20 73 79 73 z: g operating sysí 
oginal | 00000180 65 6D Áo 00 63 7B 9A 19 94 Ms DF 00 00[00 02] em. zati 1x8. i 
000001c0 [ECJEE 3F 62 SD 00 00 00 00 E615-00] 00 加 pa 

000001D0 [00 00 DÚ 00 00 00 00 OO 00 00 00 00 00 OO 00 00 
000001E0 OO 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
000001F0 |00 00 00 00 00 00 00 00 00 00 00 00 00 00 SS AA| . 
= 0 Block 31D0FE28 - 31DOFE2F | Size: 


Total capacty0 8 GB 


7.117 (快速 ) 格 式 化 后 ,0 号 扇 区 的 分 区 表 


HRI 从 分 区 表 可 知 ,相对 扇 区 数 为 128, 总 扇 区 数 为 1632256, 所 以 (快速 ) 格 式 化 前 
NTFS_DBR 备份 所 在 扇 区 号 为 1632383。 将 光标 移动 到 1632383 号 扇 区 ,如 图 7. 118 所 示 ， 
从 图 7.118 可 知 ,总 扇 区 数 为 1632255 ,比分 区 表 中 的 总 扇 区 数 少 1 个 扇 区 。 


Et See Created 

FAT32 08GB 128 = 
|_offset |o 1 2 3 4 S 6 7 8 9 A B C p E F|Z | 
31DOFDFO |00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00|.. 
31DOFEOO (EB 52 90 4E 54 46 53 20 20 20 20 00 02 08 00 OO ëR 
31DOFE10 |00 00 00 OD 00 F8 OD 00 3F 00 FF 00 80 00 OD OD .. 
31DOFE20 00 00 00 00 80 00 80 00 xé 
31DOFE30 (AA 09 01 00 00 00 00 00 02 00 00 00 00 OO 0000| +. 
DOFE40 F6 00 00 00 01 00 00 00 45 DE DA C8 20 DB C8 F6 ó. 


CT Bedor 1632383 ot 1638401 
— 


Ofset 31DOFE1F 


=0| Block 


图 7.118 (快速 格式 化 后 ,NTFS_DBR 备份 所 在 肩 区 号 
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步骤 4 将 128 号 扇 区 以 文件 的 形式 存储 ,存储 位 置 和 文件 名 自 定 , 将 1632383 号 扇 区 复 
制 到 128 号 扇 区 ,如 图 7. 119 所 示 , 即 通过 NTFS_DBR 备份 恢复 (快速 ) 格 式 化 前 的 NTFS_ 
DBR ,然后 存盘 并 退出 WinHex。 


Name Jea see [Created la [istseqor = ] 

Za Partition 1 FAT32 0.8 GB 128 

| offset [o 1234567 89ABC DEFI 
00010000 EB 52 90 4E 54 46 53 20 20 20 20 00 02 08 00 OO BR.NTFS 

Default Edit Mode 00010010 | 00 OO OD 00 00 F8 00 OO 3F 00 FF 00 80 OO 00 OO .. 

State originai | 00010020 ‘00 00 00 00 80 00 80 00 FF E7 18 00 00 00 00 OO .. 

Undo levet o| 00010030 AA 09 01 00 00 00 00 00 02 00 00 00 00 OO OO 00 9. i 

Undoreverses: ma | 00010040 Fé 00 00 00 01 00 00 00 45 DE DA C8 20 DB C8 F6 6....... EpUE OE 


< 
Sector 128 of 1638401 


7.119 通过 NTFS_DBR 备份 恢复 (快速 ) 格 式 化 前 的 NTFS_DBR 


HRS 使 用 计算 机 管理 中 的 磁盘 管理 功能 附加 abcd78. vhd 文件 后 成 为 磁盘 1 ,文件 系 
统 为 RAW, 如 图 7.120 所 示 。 从 资源 管理 器 中 可 以 看 到 H 盘 , 但 单 击 H 盘 时 ,出 现 “ 无 法 访 
问 H:N, 文 件 或 目录 损坏 且 无 法 读 取 ”, 如 图 7. 121 所 示 。 


卷 | 布局 | 类型 | x. |+ “| 操作 
基本 状态 s = 


1 9 
|797 Me Raw 
asm 


i e + [EST E EAA Hm sm | 


7.120 附加 abcd78. vhd 后 图 7.121 无 法 访问 H:\ 


步骤 6 在 计算 机 管理 的 磁盘 管理 中 ,将 光标 移动 到 磁盘 1 处 , 右 击 , 从 弹出 的 快捷 菜单 
中 选择 “分 离 VHD”, 将 磁盘 1 从 计算 机 管理 的 磁盘 管理 中 分 离 。 


步骤 7 使 用 WinHex 打开 abcd78. vhd 文件 ,并 映像 文件 为 磁盘 ; 通过 “访问 功能 ”菜单 
打开 分 区 1( 操 作 方式 “六 >“Partition1(0. 8GB,NTFS)”>“Open”) ,如 图 7. 122 所 示 。 


Partitioning stye MBR 


Partion 1 NTFS 08GB 128 
| ofteet 01234567 89ABCDE F7) — 
— | 00010000 EB 52 90 4E 54 46 53 ?ka > CRorition 1 (0.8 GB, NTFS)? 

DefautE¢ 00010010 |00 00 00 OO OO F8 00 00 = 

Staaiginal | 00010020 |00 00 00 00 80 00 80 00 Partition table 

Undolew 00010030 AA 09 01 00 00 00 00 00 Partition table (template) 

Undorets 00010040 F6 00 00 00 01 00 00 OO ` 
00010050 |00 00 00 00 FA 33 CO 8E 

Taeaa | 00010060 | 1F 1E 68 66 00 CB 88 16 Eeeteeeer template) 
00010070 |54 46 53 75 15 B4 41 BB Clone Partition (as source). 

Brespee | 00010080 |55 AA 75 06 F7 C1 01 00 


SurpiutDg 
Sector 128 of 1638401 


图 7.122 使 用 WinHex 打开 abcd78. vhd 


步骤 8 可 以 查看 到 元 文件 的 基本 情况 .如 图 7. 123 所 示 , 从 图 7. 123 可 知 ,元 文件 
$ Upcase 的 开始 扇 区 号 为 24 ,元 文件 $ MFTMirr 的 开始 扇 区 号 为 16 ,可 以 初步 判断 这 两 个 
元 文件 的 内 容 已 被 覆盖 ,需要 恢复 这 两 个 元 文件 的 内 容 。 


& 大 话 数据 恢复 


250MB 20160414 111510 SH 544060 
SMFT $SBitmap 40KB 2016/04/14 11:15 40 (ETM) 544072 
国 ssecuresson AOKB 2016044 11:1510 (NDX) — 544064 
SBitmap 249KB 201604714 11:15:10 SH — 544008 
[O sAtDer 25KB 2016044 11:1510 SH — 532248 
SSecure SSDS 258KB 2016/04/14 11:1510 (DS) — 531728 
SLogFie 60MB 201604714 11:1510 SH — 519432 
SSecure SS 40KB 201604714 11:1510  QNDX) 44088 
SUpCase 128 KB 2016/04/14 11:15:10 SH 24 
SuFTuir 40KB 201604714 111510 SH 16 
SBoot BOKB 20160414 111510 SH 0 
回 svoume 0B 201604714 11:15:10 SH 
$BadCius OB 2016/0474 11:15:10 SH 
SBadchus SBad OB 201604714 11:1510 (DS) 
SSecure 0B 201604714 11:1510 SH 
_ J Volume slack 40KB 1632248 
Free space 0768 - 


7.123 查看 NTFS 元 文件 


步骤 9 通过 元 文件 $MFT 恢复 元 文件 $ MFTMirr。 

从 NTFS_DBR 备份 可 知 ,每 个 簇 的 扇 区 数 为 8, 所 以 ,元 文件 $ MFTMirr 的 记录 数 为 4 
条 (记录 编号 为 0 一 3) 。 将 光标 移动 到 元 文件 $MEFT 的 0 号 记录 ( 即 544080 号 扇 区 ) 开 始 位 
置 ,定义 块 首 ,将 光标 移动 到 元 文件 $ MFT 的 3 号 记录 ( 即 544087 号 扇 区 ) 结 束 位 置 ,定义 块 
Jë; 选中 元 文件 $ MFT 的 0—3 号 记录 , 单 击 * 复 制 ?按钮 。 将 光标 移动 到 元 文件 $ MFTMirr 
的 开始 位 置 ( 即 16 号 扇 区 ) , 单 击 * 粘 贴 ?按钮 并 存盘 , 即 可 恢复 元 文件 $ MFTMirr。 

步骤 10 通过 其 他 NTFS 文件 系统 的 元 文件 $ Upcase 来 恢复 元 文件 $ Upcase。 也 可 以 
使 用 素材 文件 夹 中 的 Upcase 文件 来 恢复 ,这 里 介绍 使 用 素材 文件 夹 中 的 Upcase 文件 来 恢复 
元 文件 $ Upcase。 使 用 WinHex 打开 Upcase 文件 ,并 选中 Upcase 文件 的 全 部 内 容 , 单 击 “ 复 
制 ? 按 钮 。 将 光标 移动 到 24 号 扇 区 ( 即 元 文件 $ Upcase 的 开始 扇 区 ?开始 位 置 , 单 击 “ 粘 贴 ? 按 
钮 。 然 后 存盘 并 退出 WinHex。 

步骤 11 使 用 计算 机 管理 中 的 磁盘 管理 功能 ,附加 abcd78. vhd 文件 后 形成 磁盘 1 ,在 资 
源 管理 器 中 可 以 看 到 恢复 出 来 H 盘 中 的 全 部 文件 夹 和 文件 。 

注 : 步骤 7 一 步骤 10 可 以 省 略 ,直接 到 步骤 11 ,附加 abcd78. vhd 文件 后 所 形成 的 磁盘 1. 
但 H 盘 的 文件 系统 为 RAW; 此 时 回 到 DOS 提示 符 下 ,使 用 *CHKDSK H:/F/1* 命 令 自 动 修 
复 受 损 H 盘 中 的 元 文件 和 索引 目录 结构 ; 修复 完成 后 ,在 资源 管理 器 中 可 以 看 到 恢复 出 来 H 
盘 中 的 全 部 文件 夹 和 文件 。 


7.5.4 NTFS 被 (快速 ) 格 式 化 成 NTFS 的 恢复 


在 Windows XP 下, 如果 逻 辑 盘 原来 的 文件 系统 是 NTFS, 被 (快速 ) 格 式 化 成 NTFS, 由 
于 分 区 没有 调整 ,所 以 (快速 ) 格 式 化 后 分 区 表 没 有 发 生变 化 。 

作者 经 过 大 量 的 实验 发 现 : 在 Windows XP 下 ,如 果 原 来 逻辑 盘 的 文件 系统 是 NTFS, 被 
(快速 ) 格 式 化 成 为 NTFS, 可 能 会 出 现下 列 两 种 情况 。 

【情况 一 】 如 果 用 户 在 (快速 ) 格 式 化 时 ,“ 分 配 单元 大 小 ”选择 与 (快速 ) 格 式 化 前 “分 配 单 
元 大 小 ?不 相同 时 ,那么 (快速 ) 格 式 化 前 的 主要 元 文件 ,如 : $ MFT、$ Bitmap, $ Attrdef 等 
一 般 不 会 被 覆盖 ,或 者 只 会 被 部 分 覆盖 。 

【解决 方法 】 只 要 重建 (快速 ) 格 式 化 前 NTFS_DBR .一 般 情况 下 ,可 以 恢复 (快速 ) 格 式 
化 前 逻辑 盘 中 的 所 有 文件 。 
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例 7.20 使 用 计算 机 管理 中 的 磁盘 管理 工具 附加 素材 中 的 abcd79. vhd 文件 ,附加 后 的 
磁盘 为 磁盘 1; 对 应 的 盘 符 为 H: ,在 资源 管理 器 中 可 以 看 到 H 盘 上 没有 任何 文件 ( 注 : H 盘 
原来 的 文件 系统 为 NTFS, Æ Windows XP 下 被 格式 化 成 NTFS). 

【数据 恢复 思路 与 方法 】 

恢复 (快速 ) 格 式 化 前 NTFS_DBR 的 BPB 参数 ,也 就 是 说 要 计算 并 恢复 (快速 ) 格 式 化 前 
NTFS_DBR 中 每 个 篮 的 扇 区 数 .元 文件 $MFT 开始 簇 号 、 元 文件 $MFTMirr 开始 簇 号 、 元 文 
件 $ MFT 每 条 记录 大 小 描述 和 索引 节点 大 小 描述 这 5 个 参数 。 

【操作 步骤 】 

步骤 1 使 用 计算 机 管理 中 的 磁盘 管理 功能 分 离 磁 盘 1, 使 用 WinHex 打开 abcd79. vhd 
文件 ,并 映像 文件 为 磁盘 。 

步骤 2 将 光标 移动 到 整个 硬盘 的 0 号 扇 区 ,从 0 号 扇 区 可 知 , 该 盘 只 有 一 个 分 区 表 , 如 
图 7. 124 所 示 , 分 区 表 为 “80 02 03 00 07 FE 3F 81 80 00 00 00 00 E8 1F 00”, 


a 分 区 表 -Jw 一 Tg 


NTFS 


Offset 01234567 89 B c D E FE 


00000180 |65 6D 00 00 00 63 7B 9A CE BB CIN1E 00 00[6o o2] em...c{iisE...1. 

000001c0 [03 00 07 FE 3F 81 80 00 00 00 00 E8 1F 00|oo 00 4. 

s= 10c | 00000100 |00 00 OD 00 oo 00 oo 00 00 00 OO 00 00 DO 00 oo 
capacity: 

1073742 336 byles 000001E0 |00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 


000001F0 |00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA 
{Sector 0 012097153 Ofset 180 =32| Block 


Undoreverses: ma 


7.124 0 号 扇 区 存储 的 分 区 表 


步骤 3 ”从 该 分 区 表 的 标志 可 知 , 该 分 区 表 对 应 的 文件 系统 为 NTFS, 从 相对 扇 区 可 知 ， 
NTFS_DBR 在 128 号 扇 区 。 

步骤 4 将 光标 移动 到 128 号 扇 区 ,如 图 7. 125 所 示 , 从 图 7.125 可 知 ,每 个 簇 的 扇 区 数 
为 2, 隐藏 扇 区 数 为 128, 总 扇 区 数 为 2091007 , JE X: fF $ MFT 开始 簇 号 为 20910 ,元 文件 
$ MFTMirr 开始 簇 号 为 522751, 元 文件 $ MFT 每 条 记录 大 小 描述 为 1, 索引 节点 大 小 描述 
为 4。 


E 

0 02 [oa] oo 

b ia 
[FF E7 1F 00 00 00 00 oo 
IO 人 


00010050 T 00 00 00 FA 37 
TD nt To 


图 7.125 128 号 扇 区 所 存储 的 NTFS_DBR 


FRS 计算 (快速 ) 格 式 化 前 ,每 个 簇 的 扇 区 数 、 元 文件 $MFT 开始 簇 号 、 元 文件 
$ MFTMirr 开始 簇 号 、 元 文件 $ MFT 每 条 记录 大 小 描述 和 索引 节点 大 小 描述 这 5 个 参数 。 

步骤 6 计算 每 个 簇 的 扇 区 数 和 元 文件 $ MFT 开始 簇 号 。 

查找 (快速 ) 格 式 化 前 元 文件 $ MFT( 或 者 元 文件 $ MFTMirr) ,从 元 文件 $ MFT( 或 元 文 
件 $MFTMirr) 的 0 号 记录 80H 属性 可 以 计算 出 每 个 簇 的 扇 区 数 和 元 文件 $MFT 的 开始 
簇 号 。 
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将 光标 移动 到 128 E Bj P< ,使 用 WinHex 搜索 功能 中 的 “查找 文本 (T)…”, 在 “查找 文本 
(TT) ”窗口 的 “The following text string will be searched:” 文 本 框 中 输入 *$ MFT”, E Match 
case 下 的 列表 框 中 选择 “Unicode”, 在 “Search:” 列 表 框 中 选择 “Down”, 单 击 OK 按钮 。 找 到 
后 ,记录 下 扇 区 号 , 按 F3 键 继续 向 下 查找 直到 结束 。 

分 别 在 144 号 .481 号 .41948 号 .697128 号 .1045630 号 和 1059225 号 扇 区 找到 ,经 确认 ， 
只 有 41948 号 .697128 号 和 1045630 号 扇 区 为 元 文件 $MFT( 或 $MFTMirr) 的 0 号 记录 的 
第 1 个 扇 区 ; 而 41948 号 扇 区 的 内 容 与 1045630 号 扇 区 内 容 完 全 相同 。 

将 光标 移动 到 41948 号 扇 区 ,其 80H 属性 如 图 7. 126 所 示 ; 从 80H 属性 中 的 数据 运行 列 
表 可 知 ,元 文件 $MFT 开始 簇 号 为 20910 ,与 NTFS_DBR I X ig 0X30 一 0X37 记录 的 元 文 
fE $ MFT 开始 簇 号 相同 ,由 此 可 以 推断 ,41948 号 扇 区 为 (快速 ) 格 式 化 后 元 文件 $MFT( 或 
$MFTMirr) 的 0 号 记录 的 第 1 个 扇 区 ， 而 1045630 号 扇 区 为 (快速 ) 格 式 化 后 元 文件 
$MFTMirr( 或 $MFT) 的 0 号 记录 的 第 1 个 扇 区 。 


000 00 80 00 00 00 00 00 00 @ 
00 80 00 00 00 00 00 OO . 


AFEBFD42 - 1FESFD42 | Size: 


147B8F0 


Onset = 4 Block 


图 7.126 (快速 ) 格 式 化 后 ,元 文件 $MFT( 或 $ MFTMirr) 的 0 号 记录 80H 属性 


将 光标 移动 到 697128 号 扇 区 ,其 80H 属性 如 图 7. 127 所 示 ; 从 80H 属性 中 的 数据 运行 
列表 可 知 ,元 文件 $MFT 开始 簇 号 为 87125 ,在 NTFS_DBR 中 的 存储 形式 为 “55 54 01 00 00 
00 00 00”; 所 占 簇 数 为 5376 ,系统 分 配给 元 文件 $MFT 的 空间 为 22020096 S; 由 此 可 以 
推断 ,697128 号 扇 区 为 (快速 ) 格 式 化 前 元 文件 $MFT( 或 $MFTMirr) 的 0 号 记录 的 第 1 个 
CES 


nu 


系统 分 配给 文件 空间 (单元 : 字 节 ) 
Offset | 0 6 7 89 D E FZI 


= £ 2 3 4 5 
去 行列 并]o4 03 24 00 4D 00 46 00 54 00 00 00 00 00 ..$.M.F.T..... 
数据 运行 列表 80 00 00 00 48 00 00 00 01 0q 00 00 00 01 00 1.. e.f 
State: orignal | 154 Ñ 00 00 00 00 00 00 00 oo FF 14,40 00 oo oo 00 00 
Undo levet: o| 15465 40 00 00 00 00 00 00 00 
Undoreverses: na | 15465130N 00 00 50 01 00 00 00 00 00005001 00000000 ..P 


= 15465140 [|32 00 15 55 54 01 00 DB] BO 00 00 00 50 00 00 00 20 月 
Ofset 15468510F =0| Blode na) Size: ni 


图 7.127 (快速 ) 格 式 化 前 ,元 文件 $MFT( 或 $ MFTMirr) 的 0 号 记录 80H 属性 


由 式 (6. 18) 可 知 : 

系统 分 配给 文件 的 空间 = 文件 所 占 簇 数 之 和 x 每 个 簇 的 扇 区 数 X 512 字 节 / 扇 区 
22020096 字 节 = 5376 X 每 个 簇 的 扇 区 数 x 512 字 节 

所 以 ,每 徐 的 扁 区 数 二 8 

步骤 7 获得 元 文件 $MFTMirr 开始 簇 号 。 

将 光标 移动 到 697130 号 扇 区 , 即 元 文件 $MEFT( 或 $MFTMirr) 1 号 记录 第 1 个 扇 区 ， 
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80H 属性 中 的 数据 运行 列表 为 "11 01 02”, 从 数据 运行 表 可 知 , 元 文件 $ MFTMirr 开始 簇 号 
为 2, 在 NTFS_DBR 中 的 存储 形式 为 “02 00 00 00 00 00 00 00”, 占 1 个 簇 。 
H FIEX fF $ MFTMirr 的 开始 簇 号 小 于 元 文件 $MFT 的 开始 簇 号 ,由 此 可 以 推断 ， 
697128 一 697129 号 扇 区 存储 的 0 号 记录 和 697130 一 697131 号 扇 区 存储 的 1 号 记录 分 别 为 元 
文件 $ MFT 的 0 号 记录 和 1 号 记录 。 

步骤 8 计算 元 文件 $MFT 每 条 记录 大 小 描述 和 索引 节点 大 小 描述 以 及 在 NTFS_DBR 
中 的 存储 形式 。 

由 于 每 个 簇 的 扇 区 数 为 8, 由 表 6.5 可 知 , 元 文件 $ MFT 每 条 记录 大 小 描述 为 1024 F 
节 ; 索引 节点 大 小 描述 为 1 Di, E NTFS_DBR 中 的 存储 形式 分 别 为 *F6” 和 “01”。 

步骤 9 综合 步骤 6 一 步骤 8, 需 要 修改 NTFS_DBR 中 的 BPB 参数 , 见 表 7. 27 所 列 。 


表 7.27 NTFS_DBR 中 的 BPB 部 分 参数 


字 节 | 字 节 二 g t 

偏 移 | 数 十 进 制 | 十 六 进 制 存储 形式 

0X0D| 1 |AK% 8 8 08 

0X30| 8 | 元 文件 $ MFT 开始 簇 号 87125 15455 |55|54|01|00|00|00|00|00 
0X38 | 8 | 元 文件 $MFTMirr FHRS 2 2 02 | 00 | 00 | 00 |00 | o0 | 00 | 00 
0X40| 1 | 元 文件 $ MFT 每 条 记录 大 小 描述 | 1024 F6 F6 

0X44 | 1 | 每 个 索引 节点 大 小 描述 t 1 01 


步骤 10 恢复 (快速 ) 格 式 化 前 NTFS_DBR 。 
将 光标 移动 到 128 号 扇 区 ,并 按 表 7. 27 修改 NTFS_DBR 中 相应 的 BPB 参数 ,如 图 7. 128 
所 示 ,然后 存盘 。 


q ste- MaR 
将 元 文件 SMFT 开 始 簇 号 修改 将 元 文件 SMFTMirr 开 始 簇 号 
为 55 54 01 00 00 00 00 00 修改 为 02 00 00 00 00 00 00 00 


将 元 文件 SMFT 每 条 记 
录 大 小 描述 修改 为 F6 


图 7.128 修改 (快速 ) 格 式 化 前 ,NTFS_DBR 中 的 部 分 BPB 参数 


步骤 11 恢复 元 文件 $ MFTMirr。 
由 于 (快速 ) 格 式 化 前 ,每 个 篮 的 扇 区 数 为 8, 元 文件 $ MFTMirr 开始 簇 号 为 2, 占 1 个 簇 ， 
即 ( 快 速 ) 格 式 化 前 ,元 文件 $MFTMirr 占 H 盘 的 16 一 23 号 扇 区 (对 应 整个 硬盘 的 144 一 151 
号 扇 区 ) ,将 H 盘 的 16~23 号 扇 区 以 文件 的 形式 保存 ,存储 位 置 和 文件 名 自 定 。 
由 表 6. 2 可 知 ,元 文件 $ MFTMirr 的 记录 数 为 4 条 ,将 (快速 ) 格 式 化 前 元 文件 $MFT 的 
前 4 条 记录 复制 到 2 号 簇 ( 即 也 盘 的 16 一 23 号 扇 区 ,对 应 整个 硬盘 的 144 一 151 号 扇 区 ), 即 
恢复 元 文件 $ MFTMirr, 然 后 存盘 并 退出 WinHex。 

步骤 12 使 用 计算 机 管理 中 的 磁盘 管理 功能 附加 abcd79. vhd 文件 后 ,到 资源 管理 器 中 
可 以 看 到 恢复 出 来 的 H 盘 中 的 文件 和 文件 夹 。 
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【情况 二 】 如 果 用 户 在 (快速 ) 格 式 化 时 ,选择 “分 配 单元 大 小 ”与 (快速 ) 格 式 化 前 “分 配 单 
元 大 小 ”相同 时 ,那么 (快速 ) 格 式 化 前 的 主要 元 文件 ,如 : $ MFT. $ Bitmap, $ AttrDef 等 会 
被 新 的 元 文件 所 覆盖 。 

【解决 方法 】 对 于 这 种 情况 的 数据 恢复 最 好 还 是 采用 WinHex 软件 中 的 “ 按 类 型 恢复 文 
件 (T)...” 来 恢复 数据 ; 也 可 使 用 其 他 数据 恢复 软件 (如 : Easy Recovery、Final Recovery, Disk 
Genius .Get data back for NTFS 等 ) 来 进行 恢复 。 


7.6 Windows 7 下 快速 格式 化 后 的 数据 恢复 


对 逻辑 盘 进 行 格式 化 后 ,格式 化 前 多 辑 盘 中 的 数据 能 否 被 恢复 取决 于 格式 化 操作 对 逻辑 
盘 原 来 文件 系统 和 数据 的 破坏 程度 。 在 不 同 的 操作 系统 下 ,格式 化 操作 对 原来 文件 系统 和 数 
据 的 破坏 程度 不 同 。 下 面 以 Windows 7 操作 系统 下 的 快速 格式 化 操作 为 例 , 介 绍 快速 格式 化 
后 对 原来 文件 系统 的 影响 以 及 恢复 数据 的 基本 思路 与 方法 。 


7.6.1 FAT32 被 快速 格式 化 成 NTFS 的 恢复 


本 节 以 实例 的 形式 介绍 FAT32 文件 系统 被 快速 格式 化 成 NTFS 文件 系统 的 数据 恢复 。 

例 7.21 使 用 计算 机 管理 中 的 磁盘 管理 功能 附加 素材 中 的 abcd710. vhd 文件 ,附加 后 的 
磁盘 为 磁盘 1; 盘 符 为 H: ,在 资源 管理 器 中 可 以 看 到 H 盘 上 没有 任何 文件 ( 注 : H 盘 原来 的 
文件 系统 为 FAT32, 在 Windows 7 下 被 快速 格式 化 为 NTFS) 。 

【说 明 】 

快速 格式 化 前 ,整个 虚拟 硬盘 0 号 扇 区 的 分 区 表 为 “00 02 03 00 0B FE 3F 71 80 00 00 00 
00 08 1C 00”; 快速 格式 化 成 NTFS 文件 系统 后 ,整个 虚拟 硬盘 0 号 扇 区 的 分 区 表 为 “00 02 03 
00 07 FE 3F 71 80 00 00 00 00 08 1C 00”; 从 快速 格式 化 前 、 后 对 比 可 知 ,分 区 标志 由 “0B” 
( 即 FAT32 分 区 标志 ) 变 为 “07”( 即 NTFS 分 区 标志 ); 而 整个 硬盘 的 1 号 扇 区 至 127 号 扇 区 
则 没 发 现 变化 ,从 128 号 扇 区 开始 发 生变 化 。 

由 于 NTFS 文件 系统 的 元 文件 是 分 散 地 存储 在 逻辑 盘 中 ,所 以 ,快速 格式 化 后 对 原来 
FAT32 文件 系统 的 影响 将 会 随 元 文件 存放 的 位 置 不 同 而 有 所 不 同 。 

作者 做 了 大 量 的 实验 发 现 : 在 Windows 7 操作 系统 下 ,对 逻辑 盘 进 行 快速 格式 化 后 ,原来 
FAT32 文件 系统 的 FAT1 表 、FAT2 RAI 2 号 簇 已 经 被 破坏 ,而 2 号 簇 以 后 的 数据 是 否 被 破 
坏 则 取决 于 NTFS 元 文件 所 存放 的 位 置 ,没有 被 元 文件 覆盖 的 数据 仍然 保留 。 

对 于 这 种 情况 ,数据 恢复 最 好 还 是 采用 WinHex 软件 中 的 “ 按 文件 类 型 恢复 ”来 恢复 数 
据 ,也 可 使 用 其 他 数据 恢复 软件 (如 : Easy Recovery, Final Recovery, Disk Genius, Get data 
back for FAT32 等 ) 来 进行 恢复 。 


7.6.2 FAT32 被 快速 格式 化 成 FAT32 的 恢复 


在 Windows 7 下 ,如果 逻 辑 盘 原来 的 文件 系统 是 FAT32 被 快速 格式 化 成 FAT32, 由 于 
分 区 没有 调整 ,文件 系统 仍然 为 FAT32, 所 以 快速 格式 化 后 分 区 表 不 会 发 生变 化 。FAT32_ 


DBR 中 的 总 扇 区 数 也 不 会 发 生变 化 。 
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作者 做 了 大 量 的 实验 发 现 : 如 果 逻 辑 盘 原 来 的 文件 系统 是 FAT32, 被 快速 格式 化 成 
FAT32 ,对 原来 数据 的 破坏 程度 与 Windows XP 下 基本 相同 ,也 可 以 分 为 3 种 情况 来 分 析 。 
【情况 一 】 快速 格式 化 前 的 FAT32_DBR 和 FAT32_DBR 备份 已 经 被 覆盖 ,而 FATI1 表 


和 FAT2 表 以 后 的 数据 完好 保存 。 


【解决 方法 】 重建 格式 化 前 FAT32_DBR , 即 可 恢复 快速 格式 化 前 逻辑 盘 中 的 所 有 文件 。 
【情况 二 】 快速 格式 化 前 FAT32_DBR、FAT32_DBR 备份 和 FATI 表 已 经 被 覆盖 ， 


FAT2 表 以 后 的 数据 完好 保存 。 


【解决 方法 】 重建 快速 格式 化 前 的 FAT32_DBR 和 FAT1 表 , 即 可 恢复 快速 格式 化 前 逻 


辑 盘 中 的 所 有 文件 。 


【情况 三 】 快速 格式 化 前 FAT32_DBR、FAT32_DBR 备份 FAT1 表 和 FAT? 表 已 被 覆 


盖 , 即 FAT 表 除 2 号 艇 号 项 外 ,其 他 簇 号 项 的 值 已 被 置 为 "00000000”。 


【解决 方法 】 重建 快速 格式 化 前 FAT32_DBR ,使 用 数据 恢复 软件 (如 : Easy Recovery, 


Final Recovery,Disk Genius .Get data back for NTFS 等 ) 来 进行 恢复 。 
本 节 以 实例 的 形式 重点 讨论 [情况 二 】。 


例 7.22 使 用 计算 机 管理 中 的 磁盘 管理 功能 附加 素材 中 的 abcd711. vhd 文件 ,附加 后 的 
磁盘 为 磁盘 1; 盘 符 为 H: ,在 资源 管理 器 中 可 以 看 到 H 盘 上 没有 任何 文件 ( 注 : H 盘 原 来 的 


文件 系统 为 FAT32, 在 Windows 7 下 被 快速 格式 化 为 FAT32)。 
【恢复 基本 思路 与 方法 】 


恢复 快速 格式 化 前 FAT32_DBR 和 FATI1 表 , 也 就 是 说 ,计算 并 恢复 FAT32_DBR 中 每 
个 簇 的 扇 区 数 、 保 留 扇 区 数 、 每 个 FAT 表 占 用 扇 区 数 ; 通过 FAT2 表 来 恢复 FAT1 K. 


【操作 步骤 】 


步骤 1 使 用 计算 机 管理 中 的 磁盘 管理 功能 分 离 磁 盘 1 ,使 用 WinHex 打开 abcd711. vhd 


文件 ,并 映像 文件 为 磁盘 。 


步骤 2 将 光标 移动 到 整个 硬盘 0 号 扇 区 ,从 整个 硬盘 0 号 扇 区 可 知 , 该 硬盘 只 有 一 个 
MBR 分 区 表 , 如 图 7. 129 所 示 ,分 区 表 为 “00 02 03 00 0B DC 04 58 80 00 00 00 00 C8 15 00”, 


Parttionin MBR 
mes 


分 区 表 一 一 一 


Offset | 0 1 3 5 6 7 
000001B0 65 6D 0 00 67B 9A CE D3 D9 11 00 00 


0 
03 00 OB DC 04 58 80 00 00 00 00 C8 15 00 


2 
0 0 
B D 
o0 00 00 00 00 00 00 OO 00 00 00 00 00 OO 00 00 
0 0 
0 0 


LEAT32_FAT3: 和 
DefautEdtMo | 000001C0 
State: original | 000001D0 
Undolevet o| 000001E0 oo 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
Undo reversats | 000001F0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA 
Sector 0 of 1433601 et 1CE =0 Block 


图 7.129 硬盘 0 号 扇 区 的 分 区 表 


ERI 从 该 分 区 表 的 标志 可 知 ,该 分 区 表 对 应 的 文件 系统 为 FAT32,FAT32_DBR 所 在 


扇 区 号 为 128。 


步骤 4 将 光标 移动 到 128 号 扇 区 ,如 图 7. 130 所 示 , 从 图 7. 130 可 知 ,每 个 簇 的 扇 区 数 
为 16 ,保留 扇 区 数 为 6804 ,隐藏 扇 区 数 为 128 ,总 扇 区 数 为 1427456 ,每 个 FAT 表 占 用 扇 区 数 


为 694。 


步骤 5 计算 快速 格式 化 前 ,FAT32_DBR 中 的 每 个 簇 的 扇 区 数 、 保 留 扇 区 数 、 每 个 FAT 


表 占 用 扇 区 数 。 


每 个 得 的 扇 区 数 一 二 | 保留 遍 区 jen 
i D E i P: 


00010020 
00010030 ‘01 00 06 00 00 00 00 00 
00010040 80 00 29 AE OE OS CE 4 
20 20 46 41 54 33 32 
| Offset 1001F 


7.130 快速 格式 化 后 FAT32_DBR 中 BPB 参数 


步骤 6 计算 每 个 艇 的 扇 区 数 。 

查找 子 目 录 开 始 扇 区 号 ,使 用 WinHex 的 搜索 功能 中 的 “查找 Hex 数值 (T)…”, 在 “Find 
Hex Values” 窗 口 的 “The following hex values will be searched:” 文 本 框 中 输入 “*2E202020” 
( 子 目录 开始 扇 区 的 前 4 个 ASCII 码 ), 在 “Search:” 列 表 框 中 选择 “Down”, 选 择 “Cond” 左 侧 
的 复 选 框 ,在 “offset mod” 右 侧 的 两 个 文本 框 中 分 别 输入 *512” 和 “0”, 单 击 OK 按钮 。 

步骤 7 在 24705 号 扇 区 找到 第 1 个 子 目录 的 开始 扇 区 ,如 图 7.131 所 示 , 从 图 7.131 可 
知 ,第 1 个 子 目录 的 开始 簇 号 为 03。 


[了 目录 开始 伐 号 高 16 位 的 存储 形式 上 EECTSE| 了 目录 开始 生 低 16 位 的 存 售 形式 ] 


Offset 


—WAT32_FAT3: 

Ë 00c10200 f 

DefaultEdtMo | 00C10210 BF 48 BF 48[00 00] sF 48[03 00|oo 00 00 00| .H.H...x. 
State: original | 00C10220 |2E 2E 20 20 20 20 20 20 20 20 20 10 00 88 01 78 .. 


00C10230 (8F 48 8F 48 00 00 02 78 8F 48 00 00 00 00 00 OO .H.H...z. 
00C10240 |41 30 20 20 20 20 20 20 20 20 20 10 08 7B 07 78 


oacl0250 |BF 48 BF 48 00 00 EO 59 70 47 D3 04 00 00 00 OO .H.H.. 
| Offset C10200 =46 Block na| Sze: 
图 7.131 第 1 个 子 目 录 的 开始 扇 区 


步骤 8 k F3 键 , 继 续 向 下 查找 下 一 个 子 目 录 开 始 扇 区 号 ,在 24706 号 扇 区 找到 ,如 
图 7. 132 所 示 ,第 2 个子 目录 的 开始 簇 号 为 04, 由 此 可 以 计算 出 快速 格式 化 前 H 盘 每 个 簇 的 
扇 区 数 。 


上 [es Isa | 子 目 录 开 始 比 号 低 16 位 的 存储 形式 


子 目 录 开始 矮 号 高 16 位 的 存储 形式 
Offset 
00c10400 
00C10410 | SF 48 BE rn oola 78 
00C10420 |2E 2E 20 20 20 20 20 20 20 20 20 10 00 89 01 78|.. 
Undolevet 0| 00C10430 |8F 48 BF 48 00 00 02 78 BF 48 00 00 00 OO 00 OO .H.H...x. 
Undoreversa | 00C10440 |41 30 30 20 20 20 20 20 54 58 54 20 18 8C 01 78 


eac1l0450 |BF 48 BF 48 00 00 D9 82 51 43 05 00 E2 03 00 00 H.H. . 
Ofset C1041F| =0) Block 


图 7.132 第 2 个 子 目录 的 开始 扇 区 


LAFAT32_FAT3 


Default Edit Mo 
State: original 


每 个 簇 的 扇 区 数 = (第 2 个 子 目 录 开 始 扇 区 号 一 第 1 个 子 目录 开始 扇 区 号 ) 二 
(第 2 个 子 目 录 开 始 簇 号 一 第 1 个子 目录 开始 篮 号 ) 
(24706 一 24705) = 4 — 3) i] 
步骤 9 查找 FAT 的 开始 扇 区 号 。 
将 光标 移动 到 0 号 扇 区 ,使 用 WinHex 搜索 功能 中 的 “查找 Hex 数值 (T)…”, 在 “Find 
Hex Values” H BJ“ The following hex values will be searched:” 文 本 框 中 输入 *F8FFFF”( 即 


第 7 章 数据 恢复 分 


FAT 的 开始 值 ) ,在 “Search:? 列 表 框 中 选择 “Down”, 选 择 “Cond” 前 复 选 框 , 在 “offset mod” H 
侧 的 两 个 文本 框 中 分 别 输入 *512” 和 “0”, 单 击 OK 按钮 。 

步骤 10 在 整个 硬盘 的 6932 号 扇 区 找到 ,如 图 7. 133 所 示 , 从 图 7. 133 可 知 ,0 簇 号 项 、1 
簇 号 项 和 2 簇 号 项 存储 的 值 (存储 形式 ) 分 别 为 *F8 FF FF OF”FF FF FF 0F” 和 “FF FF FF 
0F”, 其 他 簇 号 项 的 值 (存储 形式 ) 均 为 “00 00 00 00”, 所 以 只 有 2 号 簇 被 使 用 , 即 被 根 目录 使 
用 ,其 他 艇 号 均 未 被 使 用 ; 由 此 可 以 推断 ,该 扇 区 为 快速 格式 化 后 新 FAT32 文件 系统 的 
FATI 表 开始 扇 区 号 。 


DotmR ER odt 00362810 s; 00 站 T 站 站 00 于 a 站 00 T OU = 


J 00362820 00 00 00 00 00 000000 00 00 00 00 OO 号 项 
Sector 6932 of 1433607 Offset 362800 =248| Block TES ORO 
—— 


7.133 快速 格式 化 后 FAT1 表 开 始 扇 区 


步骤 11 f F3 键 ,继续 向 下 查找 ,在 7626 号 扇 区 找到 ,其 存储 内 容 与 6932 号 扇 区 相同 。 
由 此 可 以 推断 ,该 扇 区 为 快速 格式 化 后 新 FAT32 文件 系统 的 FAT2 表 开 始 扇 区 。 

步骤 12 按 F3 键 ,继续 向 下 查找 ,在 13743 号 扇 区 找到 ,如 图 7.134 所 示 , 从 图 7.134 可 
知 ,该 扇 区 所 存储 的 2 号 簇 项 至 127 簇 项 已 被 使 用 ; R F3 键 ,继续 向 后 查找 ,直到 最 后 一 个 扇 
区 ,也 未 找到 ,由 此 可 以 推断 ,13743 号 扇 区 为 快速 格式 化 前 FAT32 文件 系统 FAT2 表 开 始 
CES 


Partitioning style: MBR. 2fles, 1 partitions 
PE m- 
LNFAT32_FAT32\ Offset 0 12 34 567 8 s A B C D E F 


006B5E00 F8 FF FF OF FF FF FF FF B5 00 00 00 57 05 00 OO eyy.yyyyn...w 
DefautEdtMode | 006BSE10 OC 00 00 00 06 00 00 00 FF FF FF OF 08 00 00 00 
State: original | 006B5E20 FF FF FF OF OA 00 00 00 OB 00 00 00 FF FF FF OF ` 
ndolevet o| 006B5E30 OD 00 00 00 OE 00 00 OO OF 00 00 00 10 00 00 OO . 
Undo reversesva | 006B5E40 11 00 00 00 12 00 00 00 13 00 00 00 14 00 00 OO . 
006B5E50 15 00 00 00 16 00 00 00 17 00 00 00 18 00 00 00 
eg ce | 006B5E60 19 00 00 OO 1A 00 00 00 1B 00 00 00 1C OO OO OO . 


= wekSSE70 1D 00 00 00 1E 00 00 00 1F 00 OO OO 20 OO OO OO . 
Sector 13743 of 1433601 Onset 6B5EOF = 0 Block Ma 
i 一 


7.134 快速 格式 化 前 FAT2 表 开始 扇 区 


步骤 13 由 图 7.131 可 知 ,快速 格式 化 前 ,3 号 簇 的 开始 扇 区 号 为 24705 ,而 每 个 篮 的 扇 
区 数 为 1, 所 以 ,2 号 簇 的 开始 扇 区 号 为 24704( 即 快速 格式 化 前 根 目录 的 开始 扇 区 号 ) 。 
每 个 FAT 表 占 用 扇 区 数 = 2 号 能 开始 扇 区 号 一 FAT2 表 开始 扇 区 号 
= 24704 — 13743 = 10961 
每 个 FAT 表 占 用 扇 区 数 = FAT2 表 开 始 扇 区 号 — FAT1 表 开 始 扇 
FATI 表 开 始 扇 区 号 = FAT? 表 开 始 扇 区 号 一 每 个 FAT KhA 
= 13743 — 10961 = 2782 
从 分 区 表 中 的 相对 扇 区 可 知 ,FAT32_DBR 在 128 号 扇 区 ,而 快速 格式 化 前 FATI 表 开始 
扇 区 号 为 2782, 所 以 : 
格式 化 前 保留 扇 区 数 = FATI 表 开 始 扇 区 号 — FA T32_DBR 所 在 扇 区 号 
= 2782 — 128 = 2654 


区 区 
ÉE ¿n 


& 大 话 数据 恢复 


步骤 14 综合 步骤 8、 步 骤 12 和 步骤 13。 人 快速 格式 化 前 ,FAT32_DBR 中 的 部 分 BPB 参 


数 , 见 表 7. 28 所 示 。 


表 7.28 快速 格式 化 前 FAT32_DBR 中 的 BPB 部 分 参数 


字 节 偏 移 | 字 节 数 & x A 
十 进 制 十 六 进 制 存储 形式 
0X0D 1 EEE 1 1 01 
0X0E 2 AREA 2654 A5E 5E 0A 
0X24 4 每 个 FAT 表 占 用 扇 区 数 10961 2AD1 D1 | 2A | 00 | 00 


步骤 15 将 光标 移动 到 128 号 扇 区 ,将 该 扇 区 以 文件 的 形式 保存 ,存储 位 置 和 文件 名 
HÆ. K FAT32_DBR 中 每 个 簇 的 扇 区 数 修改 为 1 ,保留 扇 区 数 修改 为 2654, 每 个 FAT 表 
占用 扇 区 数 修改 为 10961。 如 图 7. 135 所 示 ; 然后 存盘 ,至 此 ,快速 格式 化 前 FAT32_DBR 


已 恢复 。 


Partitioning style: MBR. 
| 每 个 FAT 表 所 占 扇 区 数 修改 为 10961 


| 00010010 
al 


S ERAK EA a Ta 
— 一 一 


2fles.1p 


3 4 5 6 7 89 AT 
35 2E 30 00 02 


Offset 
00010000 EB $è 


00010020 00 c8 15 oo[D1 2A DO DO] 
00010030 ,ol 00 06 00 00 00 00 OO 00 00 00 00 00 OO og 
00010040 BO 00 29 AE OE 05 CE 4E 4F 20 4E 41 4D 45 


7.135 恢复 快速 格式 化 前 FAT32_DBR 


.)9. .ÎNO NAME 
00010050 20 20 46 41 54 33 32 20 20 20 33 C9 6E 厂 保留 遍 区 上 
Onset 1001F Sy) Boe 保留 扇 区 修改 为 2654 


Sector 128 of 1433601 


步骤 16 通过 快速 格式 化 前 FAT2 表 恢 复 快 速 格式 化 前 FAT1 表 , 由 于 快速 格式 化 前 
每 个 FAT 表 占 用 扇 区 数 为 10961,FAT1 表 开 始 扇 区 号 为 2782, FAT2 表 开 始 扇 区 号 


38 13743, 


所 以 ,快速 格式 化 前 ,FATI1 表 占 用 扇 区 号 范围 为 2782 一 13742; 而 FAT2 表 占 用 扇 区 号 
范围 为 13743 一 24703。 将 2782 一 13742 号 扇 区 以 文件 的 形式 存储 ,存储 位 置 和 文件 名 自 定 ; 
将 13743 一 24703 号 扇 区 内 容 复制 到 2782 一 13742 E HX; 然后 存盘 并 退出 WinHex, 至 此 快 
速 格式 化 前 的 FATI1 表 已 成 功 恢复 。 

步骤 17 使 用 计算 机 管理 中 的 磁盘 管理 功能 ,附加 abcd711. vhd 文件 后 成 为 磁盘 1 ,在 资 
源 管 理 器 中 可 以 看 到 恢复 出 来 的 H 盘 中 的 文件 夹 和 文件 ,如 图 7. 136 所 示 o 


& os 加 J0 B-B k o-m£ 2 Ro -中 本 加 
Ga D disk D) Ro-mt@ — Rooms J-B% WB aol 
a disk F) B aoz Bar Bau Bas 
ca Gdisk (G) 国 abcdC2o00 人 文件 iji abcd_a101~a500(1300 个 文件 ) JË abed a101-a500FFA13000RH |j} abcedi 
amma) (] ji asdtasd Jrs Pieca] k watas Q) 
R MSN 上 的 B  jagpanma jire 加 Davom 

< 23 个 对 象 


7.136 恢复 格式 化 前 H 盘 中 的 文件 和 文件 夹 
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7.6.3 NTFS 被 快速 格式 化 成 FAT32 的 恢复 


在 Windows 7 下 ,如 果 原 来 的 文件 系统 是 NTFS, 被 快速 格式 化 成 FAT32 ,该 分 区 表 的 分 
区 标志 “07” 会 变 为 “0C” 或 “0B”。 

作者 做 了 大 量 的 实验 发 现 : 如 果 原 来 的 文件 系统 是 NTFS, 被 快速 格式 化 成 FAT32, 从 
FAT32_DBR 至 FAT32 的 2 号 簇 之 间 所 存储 的 数据 会 被 覆盖 ,而 FAT32 的 3 号 簇 以 后 的 数 
据 仍 然 保留 ,但 快速 格式 化 前 NTFS_DBR 备份 已 被 00 填充 。 

例 7.23 使 用 计算 机 管理 中 的 磁盘 管理 功能 附加 素材 中 的 abcd712. vhd 文件 ,附加 后 的 
磁盘 为 磁盘 1; 盘 符 为 H: ,在 资源 管理 器 中 可 以 看 到 H 盘 上 没有 任何 文件 ( 注 : H 盘 原 来 的 
文件 系统 为 NTFS, 在 Windows 7 下 被 快速 格式 化 为 FAT32) 。 

【数据 恢复 基本 思路 】 

(1) 恢复 快速 格式 化 前 NTFS_DBR ,也 就 是 说 ,计算 并 恢复 NTFS_DBR 中 每 个 簇 的 扇 区 
数 、 总 扇 区 数 、 元 文件 $ MFT 开始 簇 号 、 元 文件 $MFTMirr 开始 簇 号 、 元 文件 $ MFT 每 条 记 
录 大 小 描述 和 索引 节点 大 小 描述 这 6 个 参数 ( 注 : 由 于 隐藏 扇 区 数 的 正确 性 系统 不 进行 校 验 ， 
可 以 不 进行 修改 ) 。 

(2) 恢复 被 破坏 的 元 文件 。 

【基本 方法 】 

A) 通过 查找 元 文件 $ MFT 的 特征 值 (特征 值 为 *$ MFT”) 获 得 元 文件 $MFT 或 者 
$ MFTMirr 的 0 号 记录 ,从 元 文件 $ MFT 或 者 $ MFTMirr 的 0 号 记录 80H 属性 数据 运行 
列表 得 到 元 文件 $MFT 开始 簇 号 ; 通过 1 号 记录 80H 属性 数据 运行 列表 得 到 元 文件 
$ MFTMirr 开始 簇 号 。 

(2) 通过 元 文件 $ MFT 或 者 $ MFTMirr 的 0 号 记录 80H 属性 计算 每 个 簇 的 扇 区 数 。 

(3) 通过 分 区 表 获 得 总 扇 区 数 。 

(4) 通过 每 个 簇 的 扇 区 数 获得 元 文件 $ MFT 每 条 记录 大 小 描述 和 每 个 索引 节点 大 小 
描述 。 

(5) 通过 正常 NTFS 文件 系统 的 元 文件 恢复 被 破坏 的 元 文件 。 

【操作 步骤 】 

步骤 1 使 用 计算 机 管理 中 的 磁盘 管理 功能 分 离 磁盘 1, 使 用 WinHex 打开 abcd712. vhd 
文件 ,并 映像 文件 为 磁盘 。 

步骤 2 将 光标 移动 到 整个 硬盘 0 号 扇 区 ,如 图 7. 137 所 示 , 从 整个 硬盘 的 0 号 扇 区 可 
知 , 该 硬盘 只 有 一 个 分 区 表 , 分 区 表 为 “00 02 03 00 0B FE 3F 9B 80 00 00 00 00 50 26 00”; 从 
该 分 区 表 可 知 ,分 区 标志 为 “0B”, 该 分 区 表 对 应 的 文件 系统 为 FAT32,FAT32_DBR 在 128 号 
扇 区 ,将 分 区 标志 "0B” 修 改 为 “07”, 如 图 7.137 所 示 ,然后 存盘 。 

FRI 从 分 区 表 可 知 , 相 对 扇 区 和 总 扇 区 数 在 分 区 表 中 的 存储 形式 分 别 为 “80 00 00 
00” 和 “00 50 26 00”; 所 以 ,相对 扇 区 为 128 ,总 扇 区 数 为 2510848; 将 128 号 扇 区 ( 即 FAT32_ 
DBR) 以 文件 的 形式 存储 ,存储 位 置 和 文件 名 自 定 。 

步骤 4 获得 元 文件 $MFT 的 开始 簇 号 。 

查找 快速 格式 化 前 ,元 文件 $MFT 或 者 元 文件 $MFTMirr 的 0 号 记录 ,从 元 文件 
$ MFT 或 元 文件 $ MFTMirr 的 0 号 记录 80H 属性 获得 元 文件 $ MFT 开始 簇 号 。 


3ñies, 1 partitior 


640KB 


State: 
Undo levet: 


将 光标 移动 到 128 号 扇 区 ,使 用 WinHex 搜索 功能 中 的 “查找 文本 (TT)… 


LNTFS_FAr32wec 


Default Edit Mode 
original 


Undo reverses: n/a 


Sector 0 ot 2516993 


Offset 0 1 
000001B0 ‘65 6D 


— 分 区 表 
7 8 9AB/DEF 7 
73 98 6F 30/0 00[oo 02] em 


00 oojoo so 26 00|oo 00 
00 00 00 00 00 00 00 00 
00 00 00 00 00 00 00 00 
00 00 00 00 00 00 55 AA ... 
=0| Block 


00000100 |00 00 00 00 00 00 00 00 
000001E0 |00 00 00 00 00 00 00 00 
000001F0 |00 00 00 00 00 00 00 00 
Ofset 1CF 


7.137 0 号 扇 区 的 分 区 表 


”在 “Find 


Text” 窗 口 的 “The following text string will be searched:” 文 本 框 中 输入 *$ MFT”, 在 Match 
case 下 的 列表 框 中 选择 “Unicode”, 在 “Search:” 列 表 框 中 选择 “Down”, 单 击 OK 按钮 。 找 到 
后 ,记录 下 该 扇 区 号 , 按 F3 键 继续 向 下 查找 直到 结束 。 


分 别 在 41473 


号 和 837072 号 扇 区 找到 。 经 确认 ,837072 一 837073 号 扇 区 为 元 文件 


$MFT 或 $MFTMirr 的 0 号 记录 ; 将 光标 移动 到 837072 号 扇 区 ,其 80H 属性 如 图 7. 138 


所 示 。 


系统 分 配给 元 文件 


dor 837072 of 2516993 


SMFT 属 性 的 空间 上 | 


0 0 9 
BO 00 00 00 48 00 00 00 = wi: m 
=0 Block 198BA3EB - 198BA3EB | Size: 


32 00 0C 55 CC 00 00 CE 


| Offset 198BA11B | 


198BA140 


7.138 快速 格式 化 前 ,元 文件 $ MFT sË $ MFTMirr 的 0 号 记录 80H 属性 


从 元 文件 $ MFT 或 $MFTMirr 的 0 号 记录 80H 属性 数据 运行 表 可 知 ,元 文件 $ MFT 
开始 簇 号 为 52309( 注 : 存储 形式 为 “55 CC 00”)。 

步骤 5 获得 元 文件 $MFTMirr 开始 复 号 ,计算 每 个 簇 的 扇 区 数 。 

将 光标 移动 到 837074 号 扇 区 , 即 元 文件 $ MFT 或 者 $MFTMirr 的 1 号 记录 ,其 80H 属 


性 如 图 7.139 所 示 。 


图 7.139 快速 格式 化 前 ,元 文件 $MFT 或 $ MFTMirr 的 1 号 记录 80H 属性 


从 元 文件 $MFT 或 $MFTMirr 的 1 号 记录 80H 属性 数据 运行 表 可 知 ,元 文件 


$ MFTMirr 的 开始 簇 号 为 1, 占 1 Mi: 系统 分 配给 元 文件 $ MFTMirr 的 空 
每 个 能 的 扇 区 数 = 系统 分 配 空间 二 文件 所 占 簇 数 之 和 = 


s 间 为 8192 字 节 。 
8192 + 1 — 512 = 16 


512 字 节 
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步骤 6 H T£ 0 BL DCEOCS 16, 由 表 6.5 可 知 ,元 文件 $ MFT 每 条 记录 大 小 描述 为 
1024 字 节 ,在 NTFS_DBR 中 的 存储 形式 为 *F6”; 每 个 索引 节点 大 小 描述 为 4096 字 节 ,在 
NTFS_DBR 中 的 存储 形式 为 “F4”。 

步骤 7 综合 步骤 4 一 步骤 6, 需 要 修改 的 NTFS_DBR 中 的 参数 见 表 7.29 所 列 。 


表 7.29 NTFS_DBR 中 的 BPB 部 分 参数 


字 节 | 字 节 Q t 

偏 移 | 数 十 进 制 | 十 六 进 制 存储 形式 

0X0D| 1 | 扇 区 数 / 簇 16 10 10 

0X28 | 8 | 总 扇 区 数 2510847| 264FFF |FF|4F|26|00|00|00|00|00 
0X30 | 8 | 元 文件 $ MFT FRES 52309 | CC55 | 55 | CC| 00 | oo |00 |00 | 00 | 00 
0X38| 8 | 元 文件 $ MFTMirr FRR 1 1 01 | 00 | 00 | oo | 00 | 00 | o0 | o0 
0X40| 1 | 元 文件 $ MFT 每 条 记录 大 小 描述 | 1024 F6 F6 

0X44 | 1 | 每 个 索引 节点 大 小 描述 4096 F4 F4 


步骤 8 将 同一 版 本 的 NTFS_DBR 复制 到 128 号 扇 区 ,并 按 表 7. 29 中 的 值 修改 NTFS_ 
DBR 中 的 BPB 参数 ; 如 图 7. 140 所 示 ; 修改 后 的 NTFS_DBR 中 BPB 参数 如 图 7.141 所 示 ， 
然后 存盘 并 退出 WinHex。 


将 SMFT 开 始 簇 号 修改 为 
55 CC 00 00 00 00 00 00 


将 每 个 簇 的 扇 区 
数 修改 为 10 


将 总 扇 区 数 修改 为 
FF 4F 26 00 00 00 00 00 


将 8MFT 记 录 大 小 7 
描述 修改 为 F6 [20 o0 erws 
0 00 00 .....0..7.9.1.. 
FF E7 IF 00 00 00 0000]. 


将 8MFTMirr 开 始 秘 号 修改 为 
01 00 00 00 00 00 00 00 


将 索引 节点 大 小 
描述 修改 为 F4 


Csedor128 of2516993 


UU 00 00 00 FA 33 CO 8E DO BC 00 
| Offset 1000F | =0| Block 


7.140 修改 前 的 NTFS_DBR 中 的 参数 


Partitioning sWie MBR 3 fies, 1 parttior 


E Partition 1 NTFS 12GB 128 


[DA WNTFS FAr32we | Offset 01234567 8 9ABCDE FZ 
| 00010000 (EB 52 90 4E 54 46 53 20 20 20 20 00 02[0]00 oo eR.NTFS 
Default Edit Mode 00010010 00 00 00 00 00 F8 00 OO 3F 00 FF 00 80 00 00 OO .. 

State: orig [T] 


jinai | 00010020 00 00 00 00 80 00 80 00 [FF 4F 26 00 00 00 OO 00] .. 
Undo levet o| 00010030 [55 cc 00 00 00 00 00 00) [01 00 00 00 00 00 0000) vi 
Undoreverses: ma | 00010040 [E6joo oo oo[EF4joo 00 00 6B 73 0C 00 9D 42 OF 00|5. 


00010050 00 00 00 00 FA 33 CO 8E DO BC 00 7C FB B8 CO 07 | ....ú3ÀIÐm. |ù, À 
Offset 1001F =0| Block 1017E- 198BA3EB | Size: 198AA26 


图 7.141 修改 后 的 NTFS_DBR 中 的 参数 


步骤 9 使 用 计算 机 管理 中 的 磁盘 管理 功能 附加 abcd712. vhd 文件 后 成 为 磁盘 1 ,文件 系 
统 为 RAW ,如 图 7.142 所 示 。 从 资源 管理 器 中 可 以 看 到 H 盘 , 但 单 击 H 盘 时 ,出 现 “ 无 法 访 
问 H:\, 文 件 或 目录 损坏 且 无 法 读 取 ”, 如 图 7. 143 所 示 , 以 及 “是 否 要 将 其 格式 化 ?” 提 示 ; 此 
时 , 单 击 * 取 消 ?按钮 。 

步骤 10 在 计算 机 管理 的 磁盘 管理 中 ,将 光标 移动 到 磁盘 1 处 , 右 击 ,从 弹出 的 快捷 菜单 
中 选择 “分 离 VHD”, 将 磁盘 1 从 计算 机 管理 的 磁盘 管理 中 分 离 。 
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RHD SFA SEV 。 帮助 (中 
包 中 | 方 国 | 日 国民 


| 


[EE g 主 分 区 EAA DA 


7.142 附加 abcd712. vhd 后 


7.143 无法 访问 H:\ 


步骤 11 使 用 WinHex 打开 abcd712. vhd 文件 ,并 映像 文件 为 磁盘 ; 通过 “访问 功能 ” 菜 
单打 开 分 区 1( 操 作 方式 “六 一 “Partition1(1. 2GB,NTFS)”>“Open”) ,如 图 7. 144 所 示 。 


Partitioning style: MBR Zmes, 1 partitions 
Z Parmon 1 NTFS 1268 128 
LWF8. | offset | 0 1 2 3 4 5 6 7 8 9 A B Cc p E FC” 
~ | 00010000 EB 52 90 4E 54 46 53 Wo — Carton 
DefautEt | 00010010 |00 00 00 00 00 F8 00 OÚ 一 = 
Saiginal | 00010020 |00 00 00 00 80 00 80 00 Partition table 


Undolew 


00010030 SS CC 00 00 00 00 00 00 
Undo rin 


00010040 |F6 00 00 00 F4 00 OO 00 
ngg10050 |00 00 00 00 FA 33 coeg Po%tsedor 
Oset 1006A, 


"r Ayaq +... ú3ÅIDM. |ûhÀ. 
31DOFE00-31DOFFFF | Size- 200. 


7.144 使 用 WinHex 打开 abcd712. vhd 
步骤 12 可 以 查看 到 元 文件 的 基本 情况 ,如 图 7. 145 所 示 ; 从 图 7. 145 可 知 ,元 文件 


$ Upcase 的 开始 扇 区 号 为 32, 元 文件 $ MFTMirr 的 开始 扇 区 号 为 16, 可 以 初步 判断 这 两 个 
元 文件 的 内 容 已 被 覆盖 ,需要 恢复 这 两 个 元 文件 的 内 容 。 


SSecure SSDH S 0 KB 2016/04/25 150906 (NDX) _ 288 


128 KB 2016/04/25 15:09:06 SH 32 
SMFTMirr .8 0 KB 2016/04/25 15:09:06 SH 16 
SBool 80KB 20160425 150906 — SH ° 
usa pasa Ofset o 1 2 3 4 S 6 7 B 9 A B C D E TEADA 
Filesystem NTFS | 00004000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
00004010 |00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 OO |. 
DefautEdtMode ，| 00004020 |00 00 00 oo OD 00 00 00 00 OD 00 00 00 00 00 00|. 


| Offset 4000; =0 | Blode 


图 7.145 查看 被 破坏 的 元 文件 $ Upcase 

步骤 13 通过 元 文件 $ MFT 来 恢复 元 文件 $ MFTMirr。 

由 于 每 个 簇 的 扇 区 数 为 16 ,由 表 6. 2 可 知 ,元 文件 $ MFTMirr 的 记录 数 为 8 条 (记录 编 
号 为 0~~7)。 将 元 文件 $ MFT 的 0—7 号 记录 复制 到 16 一 31 号 扇 区 ( 即 元 文件 $MFTMirr 
所 在 扇 区 号 ) , 即 通过 元 文件 $ MFT 的 0 一 7 号 记录 恢复 元 文件 $ MFTMirr 的 0 一 7 号 记录 。 
然后 存盘 。 

步骤 14 通过 其 他 NTFS 文件 系统 的 元 文件 $ Upcase 来 恢复 元 文件 $ Upcase。 也 可 以 
使 用 素材 文件 夹 中 的 Upcase 文件 来 恢复 ,这 里 介绍 使 用 Upcase 文件 来 恢复 元 文件 
$ Upcase。 使 用 WinHex 打开 Upcase, 并 选中 Upcase 文件 的 全 部 内 容 , 单 击 “ 复 制 ”按钮 。 将 


光标 移动 到 32 号 扇 区 ( 即 元 文件 $ Upcase 的 开始 扇 区 ) 开 始 位 置 , 单 击 “ 粘 贴 ?按钮 。 然 后 存 
盘 并 退出 WinHex. 
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注 : 步骤 10 一 步骤 14, 也 可 以 省 略 , 在 DOS 提示 符 下 ,使 用 "CHKDSK H:/F” 命 令 来 自 
动 修复 受 损 的 元 文件 $ Upcase 和 $MFTMirr。 

步骤 15 使 用 计算 机 管理 中 的 磁盘 管理 功能 附加 abcd712. vhd 文件 后 成 为 磁盘 1, 在 资 
源 管理 器 中 可 以 看 到 恢复 出 来 的 H 盘 中 的 文件 夹 和 文件 ,如 图 7. 146 所 示 。 


| "> SEE, > eE H ， + |“ || == === n) 2 
XÐ S80 EV IAD rH) 
组 织 ” 。 包含 到 库 中 ”共享 ” aR MHR s- e 
bes Fdisk (t aol J a100 长 文件 各 Baom Halle 目 a22bd 目 a33.bo4 
?加 Gdisk(G Jao 国 A60of5 区 500 人 文件 雪 引 目录 ) Bam Batt Hazte 四 aa4bt 
sasa Jian 大 aloooofFil0000 人 文 #0000-9999) E)a02et Balte 目 a24bt 目 a3sed 
"k aol Di Al2( 李 故 400 个 文人 的 要 引 目录 有 aa Dosta Hast [aste [a36 
i aoz D a13 Ji aaaasa Date 目 slsba [azot [a370 
Ë az B Di ALFRINK 及 abcd(1000 人 文件) Bosw Halse 目 s27odt [la38ta 
D anert J als Ji abcd(2000 人 文件 Bat Hadt [Hatt 目 a39bt 
B s 大 al5 J ebcd_a101-a500(1300 26) Borm Basme Haze Fatte 
Ji a16 i abcd alol-a500(F 改 1300f 广 人。 目 a08bt [alot 目 a3oba [la4lbs 
Basan g. Ji sbcd_a101-b299(12008les) 目 sooea 上 日 szoua [asot 
a an Ú ga 目 oaua Baom Ha [a2 


7.146 恢复 快速 格式 化 前 H 盘 中 的 文件 和 文件 来 


7.6.4 NTFS 被 快速 格式 化 成 NTFS 的 恢复 


原来 的 文件 系统 是 NTFS, 快 速 格式 化 成 NTFS, 由 于 分 区 没 调整 ,文件 系统 没有 变化 ,所 
以 ,快速 格式 化 后 分 区 表 不 会 发 生变 化 。 

NTFS 被 快速 格式 化 成 NTFS 分 两 种 情况 来 分 析 。 

【情况 一 】 在 快速 格式 化 窗口 中 ,用 户 选择 的 “分 配 单元 大 小 (A): ”与 原来 NTFS 的 “分 
配 单 元 大 小 (A): "相同; 快速 格式 化 后 ,原来 的 NTFS 元 文件 将 被 新 的 元 文件 所 覆盖 ,而 原来 
NTFS 文件 系统 的 根 目录 已 被 新 的 NTFS 文件 系统 的 根 目录 所 覆盖 ,原来 NTFS 文件 系统 的 
其 他 索引 目录 一 般 仍然 会 保留 。 

【数据 恢复 思路 与 方法 (一 )】 重建 快速 格式 化 前 元 文件 $MFT 的 0 号 记录 80H 属性 中 
的 元 文件 $ MFT 所 占 簇 数 、 结 束 VCN、 系 统 分 配给 元 文件 $ MFT 的 空间 、 元 文件 $ MFT X 
际 占用 空间 和 元 文件 $ MFT 初始 化 空间 。 

回 到 DOS 提示 符 下 ,使 用 *CHKDSK 盘 符 :/F/ 了 ”命令 以 元 文件 $MFT 中 的 记录 作为 依 
据 对 逻辑 盘 受 损 的 NTFS 文件 系统 进行 自动 修复 ; 修复 完成 后 ,到 资源 管理 器 中 可 以 查看 到 
逻辑 盘 中 的 文件 和 文件 夹 。 

例 7.24 使 用 计算 机 管理 中 的 磁盘 管理 功能 附加 素材 中 的 abcd713. vhd 文件 ,附加 后 的 
磁盘 为 磁盘 1; 盘 符 为 H: ,在 资源 管理 器 中 可 以 看 到 H 盘 上 没有 任何 文件 ( 注 : H 盘 原 来 的 
文件 系统 为 NTFS, 在 Windows 7 下 被 快速 格式 化 为 NTFS; 素材 文件 名 为 abcd713. vhd, 快 
速 格式 化 前 后 ,H 盘 的 “分 配 单元 大 小 (A)” 均 为 4096 字 节 , 即 每 个 徐 的 扇 区 数 为 8) 。 

【数据 恢复 步骤 】 

步骤 1 通过 WinHex 软件 打开 abcd713. vhd 文件 并 映像 为 磁盘 。 在 WinHex 主 界面 窗 
口中 ,通过 “访问 功能 ”菜单 打开 分 区 1( 操 作 方 式 : “一 “Partition1 (1. 2GB, NTFS)” > 
“Open”) ,获得 元 文件 $ MFT 的 开始 扇 区 号 为 836944。 

步骤 2 查找 元 文件 $ MFT 的 结束 扇 区 号 。 

将 光标 移动 到 “Partition1” 的 最 后 一 个 扇 区 ,使 用 WinHex 搜索 功能 中 的 “查找 文本 (T)…”， 
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在 “Find Text” 窗 口 的 “The following text string will be searched:"” 文 本 框 中 输入 “FILE”, 在 
Match case 下 的 列表 框 中 选择 “ASCII/Code page”, 在 “Search:" 列 表 框 中 选择 “Up”, 选择 
“Cond” 前 复 选 框 ,在 “offset mod” 右 侧 的 两 个 文本 框 中 分 别 输入 “512” 和 ”*0”, 单 击 OK 按钮 。 
在 886606 号 扇 区 找到 。 所 以 快速 格式 化 前 元 文件 $ MFT 结束 扇 区 号 为 886607。 
步骤 3 计算 快速 格式 化 前 元 文件 $MFT 所 占 扇 区 数 、 元 文件 $MEFT 所 占 簇 数 、 元 文件 
$ MFT 的 0 号 记录 80H 属性 中 的 结束 VCN S; 从 NTFS_DBR 获得 每 个 簇 的 扇 区 数 为 8。 
元 文件 $ MFT 所 占 扇 区 数 = 元 文件 $ MFT 的 结束 扇 区 号 一 
元 文件 $ MFT 的 开始 扇 区 号 十 1 
886 607 — 836 944 十 1 = 49 664 
元 文件 $ MFT Jr h $E 3 = 元 文件 $ MFT 所 占 扇 区 数 / hp 8 09 p PC 32 
= 49 664/8 = 6208 
元 文件 $ MFT 的 结束 VCN = 元 文件 $ MFT 所 占 簇 数 一 1 = 6208 — 1 = 6207 
系统 分 配给 元 文件 $ MFT 的 空间 = 元 文件 $ MFT 所 占 扇 区 数 x 512 字 节 
= 49 664 X 512 = 25 427 968 字 节 
元 文件 $ MFT 实际 占用 空间 = 元 文件 $ MFT 所 占 扇 区 数 X 512 字 节 
= 25 427 968 字 节 
元 文件 $ MFT 初始 化 空间 = 元 文件 $ MFT 所 占 扇 区 数 x 512 字 节 
一 25 427 968 字 节 
综 上 所 述 ,元 文件 $MFT 的 0 号 记录 80H 属性 中 部 分 参数 值 见 表 7. 30 所 列 。 


表 7.30 元 文件 $MFT 的 0 号 记录 80H 属性 中 部 分 参数 表 


字 节 | 字 节 值 

& X 
偏 移 | 数 十 进 制 | 十 六 进 制 存储 形式 
0X018| 8 | 结束 VCN 6207 183F |3F|18|oo |oo |oo | o0 | o0 | o0 
0X028| 8 | 系统 分 配给 元 文件 $ MFT 的 空间 |25427968| 1840000 | 00 | 00 | 84 | 01 | oo | oo | oo | oo 
0X030| 8 | 元 文件 $MFT 实际 占用 空间 25427968| 1840000 | 00 | 00 | 84 | 01 | 00 | o0 | oo | oO 
0X038| 8 | 元 文件 $MFT 初始 化 空间 25427968| 1840000 | 00 | 00 | 84 | 01 | 00 | 00 | 00 | 00 
0X041| 2 | 元 文件 $ MFT 所 占 簇 数 6208 1840 40 18 


修改 元 文件 $ MFT 的 0 号 记录 80H 属性 中 部 分 参数 , 即 表 7. 30 中 的 值 ; 也 就 是 说 ,恢复 
快速 格式 化 前 元 文件 $ MFT 的 0 号 记录 80H 属性 中 的 结束 VCN 、 系 统 分 配给 元 文件 $ MFT 
的 空间 、 元 文件 $ MFT 实际 占用 空间 元 文件 $ MFT 初始 化 空间 和 元 文件 $ MET 所 占 簇 数 。 

步骤 4 将 光标 移动 到 元 文件 $MFT 的 0 号 记录 80H 属性 处 ; 按 表 7. 31 修改 元 文件 
$ MFT 的 0 号 记录 80H 属性 中 部 分 参数 ; 修改 后 的 值 如 图 7. 147 所 示 。 


表 7.31 元 文件 $MFT 的 0 号 记录 80H 属性 中 部 分 参数 表 


池 w 值 (存储 形式 ) 
& x 一 

偏 移 | 数 修改 前 的 值 修改 后 的 值 
0X018 | 8 | 结束 VCN 3F|00|oo0|oo|oo oo oo 00 3F 18 o0|o0|o0|00|00|00 
0X028 | 8 | 系统 分 配给 元 文件 $MFT 的 空间 |00|00|04|00|00|00|00|00|00|00|84101|00|00|00|00 
0X030 | 8 | 元 文件 $ MFT 实际 占用 空间 00|00|04|00|00|00|00|00|00|00|84101|00|00|00l00 
0X038 | 8 | 元 文件 $ MFT 初始 化 空间 00|00|04|00|00|00|00|00|00|00|84101|00|00|00l00 
0X040 | 8 | 数据 运行 列表 31|40 AA.98|01 100 FC|CF|32|40 18 AA 98 | 01 | 00 CF 
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Offset | 0 1 2 3 4 5 6 7 89AB C D E FÇ JS — 
198AAOF0 04 03 24 00 4D 00 46 00 54 00 00 00 00 00 00 00 ..S.M. 
198AA100 80 00 00 00 48 00 00 00 01 00 40 00 00 OO 01 00 
198AA110 00 00 00 00 00 00 00 00 
198AA120 40 00 00 00 00 00 00 00 
198AA130 [00 00 84 01 00 00 00 00 |00 00 64 01 00 00 00 00 
198AA140 Bo 00 00 00 50 00 00 00 


Sector 836944 of 2510848 Offset 198AA147 | =207 | Block 


ES 


图 7.147 恢复 快速 格式 化 前 元 文件 $ MFT 的 0 号 记录 80H 属性 部 分 


ik; 在 元 文件 $ MFT 的 0 号 记录 80H 属性 中 ,元 文件 $ MFT 所 占 簇 数 存储 在 数据 运行 
列表 中 ,所 以 元 文件 $MFT 的 0 号 记录 80H 属性 中 的 数据 运行 列表 由 “31 40 AA 98 01 00 
FC CF” 修 改 为 “32 40 18 AA 98 01 00 CF”, 

步骤 5 使 用 计算 机 管理 中 的 磁盘 管理 功能 附加 素材 中 的 abcd713. vhd 文件 ,附加 后 的 
磁盘 为 磁盘 1, 盘 符 为 H:。 

步骤 6 在 DOS 提示 符 下 ,通过 “CHKDSK H:/F/I? 修 复 受 损 的 NTFS 文件 系统 结构 ， 
经 过 大 约 8 分 钟 ; 在 资源 管理 器 中 可 以 查看 到 H 盘 中 的 文件 和 文件 夹 。 

【数据 恢复 思路 与 方法 (二 )】 重建 快速 格式 化 前 元 文件 $MFT 的 0 号 记录 。 

A) 计算 快速 格式 化 前 元 文件 $ MFT 所 占 扇 区 数 , 通 过 元 文件 $ MFT 所 占 扇 区 数 ,计算 
快速 格式 化 前 元 文件 $MFT 中 的 记录 数 ; 假设 快速 格式 化 前 元 文件 $MFT 中 的 记录 数 
H S. 

(2) 从 NTFS_DBR PRIS Š A X AA Bp 4° š UJ 93 P< 8; 通过 总 扇 区 数 计算 该 逻辑 盘 
( 卷 ) 的 容量 ,假设 该 逻辑 盘 ( 卷 ) 的 容量 为 Z, 每 个 簇 的 扁 区 数 为 X. 

(3) 通过 Windows 7 的 虚拟 磁盘 管理 功能 创建 一 个 虚拟 硬盘 文件 ,假设 文件 名 为 abcd 
.vhd, 虚 拟 硬盘 文件 大 小 略 大 于 Z; 附加 abed. vhd 虚拟 硬盘 文件 ,初始 化 为 MBR 并 建立 一 个 
分 区 ,分 区 大 小 为 Z, 对 该 分 区 进行 快速 格式 化 ,文件 系统 选择 NTFS, 每 个 艇 的 扇 区 数 选择 
X; 假设 对 应 的 盘 符 为 H: ,复制 大 约 (S 一 34) 个 文件 ( 夹 ) 到 H 盘 中 。 

(4) 使 用 WinHex 软件 打开 H 盘 , 将 元 文件 $ MFT 的 0 号 记录 以 文件 的 形式 存储 ,假设 
文件 名 为 MFT_0Sector。 

(5) 通过 MFT_0Sector 文件 恢复 快速 格式 化 前 元 文件 $ MFT 的 0 号 记录 。 

(6) 回 到 DOS 提示 符 下 ,使 用 CHKDSK 盘 符 :/F/ 耻 命令 以 元 文件 $ MFT 中 的 记录 作 
为 依据 对 逻辑 盘 中 受 损 的 NTFS 文件 系统 进行 自动 修复 ; 修复 完成 后 ,到 资源 管理 器 中 可 以 
查看 到 逻辑 盘 中 的 文件 和 文件 夹 。 

由 于 篇 幅 限制 【数据 恢复 步骤 ?请 读者 自行 实践 : 如 果 需 要 帮助 ,请 通过 QQ 与 作者 
联系 。 

【情况 二 】 在 快速 格式 化 窗口 中 ,用 户 选择 的 “分 配 单元 大 小 (A): ”与 原来 NTFS 的 “分 
配 单 元 大 小 (A): "不同 ; 那么 ,快速 格式 化 后 ,快速 格式 化 前 的 NTFS 元 文件 可 能 会 被 快速 格 
式 化 后 的 其 他 元 文件 覆盖 ,未 覆盖 的 部 分 一 般 仍然 会 保留 。 

【数据 恢复 思路 与 方法 】 计算 快速 格式 化 前 “分 配 单元 大 小 (A)”, 即 每 个 簇 的 扁 区 数 ; 
再 次 快速 格式 化 该 逻辑 盘 , 在 快速 格式 化 窗口 中 ,选择 “分 配 单元 大 小 (A): ”与 原来 NTFS 的 
“分 配 单元 大 小 (A) : ”相同 ; 【数据 恢 复 步 又 与 【情况 一 3 的 [数据 恢复 步骤 相同 。 

由 于 篇 幅 限制 ,【 数 据 恢复 方法 与 步骤 】 请 读者 自行 实践 ; 如 果 需 要 帮助 ,请 通过 QQ 与 作 
者 联系 ( 注 : 思考 题 7.16 属于 这 种 情况 ) 。 


Q serena 


用 户 也 可 以 采用 WinHex 软件 中 的 “ 按 文件 类 型 恢复 ”来 恢复 数据 ; 或 者 使 用 其 他 数据 恢 
复 软 件 ( 如 Easy Recovery、Final Recovery、Disk Genius、Get data back for NTFS 等 ) 来 进行 
恢复 。 


7.7 Windows 7 下 格式 化 后 的 数据 情况 


作者 经 过 多 次 实验 发 现 : 在 Windows 7 操作 系统 下 ,对 逻辑 盘 进 行 格式 化 后 ,存储 在 迎 辑 
盘 上 的 数据 将 被 填充 为 "00”, 对 于 这 种 情况 数据 将 无 法 恢复 。 


7.8 数据 恢复 案例 


【案例 1] 至 【案例 8〗 是 作者 基于 从 事 数据 恢复 过 程 中 所 遇 到 的 情况 ,经 整理 而 形成 的 ， 
供 读者 学 习 研 究 。 

【案例 11 

【客户 描述 】 U 盘 只 有 一 个 MBR 分 区 ,对 应 的 文件 系统 为 FAT32 ,在 Windows 7 下 ,将 
U 盘 插 入 计算 机 USB 口 后 ,在 资源 管理 器 中 没有 出 现 U 盘 的 盘 符 提示 ( 注 : 素材 文件 名 为 
abcd714. vhd) 。 

【分 析 】 根据 客户 描述 ,将 U 盘 插 入 计算 机 USB 口 后 ,在 资源 管理 器 中 没有 出 现 U 盘 的 
盘 符 提示 。 可 能 的 原因 是 U 盘 的 0 号 扇 区 已 被 破坏 。 

【查找 原因 】 经 查找 ,FAT32_DBR 和 FAT32_DBR 备份 正常 ; FATI 表 和 FAT2 KE 
常 ; 只 有 U 盘 的 0 号 扇 区 不 正常 ,需要 恢复 0 号 扇 区 。 

【恢复 思路 】〗 恢复 U H 0 号 扇 区 , 即 恢复 主 引导 记录 、MBR 分 区 表 和 分 区 结束 标志 。 

【操作 系统 】 Windows 7 

【使 用 软件 】 WinHex 软件 15.1 

【操作 步骤 】 

步骤 1 使 用 计算 机 管理 中 的 磁盘 管理 功能 附加 素材 文件 夹 中 的 abcd714. vhd 文件 后 形 
成 磁盘 1, 如 图 7.148 所 示 。 从 图 7. 148 可 知 ,磁盘 1 没有 初始 化 ; 由 于 磁盘 1 未 初始 化 ,在 资 
源 管理 器 中 无 法 查看 到 U 盘 产 生 的 盘 符 ,分 离 abcd714. vhd 文件 。 


图 7.148 附加 abcd714. vhd 后 的 磁盘 1 


温馨 提示 : 干 万 不 要 对 磁盘 1 进行 初始 化 操作 ! 否则 ,会 将 0 号 扇 区 的 MBR 分 区 表 
删除 。 

步骤 2 使 用 WinHex 打开 abcd714. vhd 文件 并 映像 为 磁盘 ; 将 光标 移动 到 0 号 扇 区 , 查 
看 主 引导 扇 区 ,如 图 7. 149 所 示 。 
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Partitioning style: ? 1 files, 0 partitions 
-一 一 Jea [sue Tereaeq 


| Offset |0 1 2 3 4 5 6 7 8 9 AB C DEF ~ 
00000180 20 6C 6F 61 64 69 6E 67 20 6F 70 65 72 61 74 69 loading operati A 
DetautEg | 00000190 6E 67 20 73 79 73 74 65 6D 00 4D 69 73 73 69 6E | ng system.Missin 
Stamgna | 000001A0 67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 = 74 g operating syst 
Undoleva | 00000180 65 6D 00 00 00 63 7B 9A 2A 92 60 7D 00 00 em...ctis…]}.， 
Undorela | 000001C0 [人 00|. EA E 


Dnnnninn [non an an nn 00 DO 0000 00 00 
Tota06s EZE s fyes » 
‘T12 bytes L 将 结束 标志 *00 00" 修 改 为 <55 AA” lon oo oo OO e= [°> oe] 


Sector 0 of 409601 | Offset 1CD =0| Block 
7.149 U 盘 的 0 号 扇 区 


FRI 从 主 引 导 扇 区 初步 判断 , 主 引导 记录 正常 ,磁盘 签名 正常 ,只 有 一 个 分 区 表 , 分 区 
表 为 “00 02 03 00 0B 3A 22 18 80 00 00 00 00 FO 05 00”( 存 储 形式 ) , 即 分 区 表 正 常 ; 扇 区 结 
束 标 志 为 "00 00”( 存 储 形式 ) ,结束 标志 不 正常 ,正常 的 结束 标志 为 "55 AA”( 存 储 形式 )。 

步骤 4 将 结束 标志 “00 00” 修 改 为 “55 AA”, 然 后 存盘 并 退出 WinHex, 

步骤 5 使 用 计算 机 管理 中 的 磁盘 管理 功能 附加 素材 文件 夹 中 的 abcd714. vhd 文件 , 附 

后 的 磁盘 为 磁盘 1; 在 资源 管理 器 中 产生 的 逻辑 盘 符 为 日 : ,可 以 查看 到 H 盘 中 存储 的 全 部 

文件 夹 和 文件 夹 。 

【所 用 时 间 】〗】 2 分 钟 

【客户 评价 】 非常 满意 

【形成 原因 分 析 】 造成 0 号 扇 区 结束 标志 不 是 “55 AA” 的 主要 原因 可 能 是 用 户 在 没有 将 
U 盘 印 下 的 情况 下 ,直接 将 U 盘 从 USB 口 拔 出 。 

【温馨 提示 】 将 U 盘 从 USB 口 拔 出 前 ,一 定 要 将 U kL F; 如 果 无 法 卸 下 ,请 关闭 计算 
机 后 ,再 将 U 盘 从 USB 口 拔 出 。 

【案例 2] 

【客户 描述 】 U 盘 的 文件 系统 为 FAT32, 在 Windows 7 下 ,将 U 盘 插 入 计算 机 USB H 
后 ,在 资源 管理 器 中 没有 出 现 U 盘 的 盘 符 提示 ( 注 : 素材 文件 名 为 abcd715. vhd) 。 

【分 析 】 根据 客户 描述 ,可 能 的 原因 是 : U 盘 的 0 号 扇 区 已 被 破坏 。 

[ERRA] 经 查找 ,该 U 盘 只 有 一 个 FAT32_DBR; FATI 表 和 FAT2 KEW; 需要 
恢复 0 号 扇 区 。 

【恢复 思路 】 恢复 U 盘 0 号 扇 区 FAT32_DBR; 或 者 恢复 U 盘 的 0 号 扇 区 , 即 恢复 主 引 
导 记 录 、MBR 分 区 表 和 分 区 结束 标志 。 

【操作 系统 】 Windows 7 

【使 用 软件 】 WinHex 软件 15. 1 

【操作 步骤 】 

步骤 1 使 用 计算 机 管理 中 的 磁盘 管理 功能 附加 素材 文件 夹 中 的 abcd715. vhd 文件 后 形 
成 磁盘 1, 如 图 7.150 所 示 。 从 图 7. 150 可 知 ,磁盘 1 联机 ”, 但 “未 分 配 ”; 由 于 磁盘 1 未 分 配 ， 
在 资源 管理 器 中 无 法 查看 到 U 盘 产 生 的 盘 符 ,分 离 abcd715. vhd 文件 。 

步骤 2 使 用 WinHex 打开 abcd715. vhd 文件 并 映像 为 磁盘 ; 将 光标 移动 到 0 号 扇 区 , 查 
看 主 引 导 扇 区 ,如 图 7.151 所 示 。 

步骤 3 从 主 引导 扇 区 初步 判断 ,引导 记录 正常 ,磁盘 签名 正常 , 扇 区 结束 标志 为 "55 AA” 
(存储 形式 ) ,正常 ; 存放 4 个 MBR 分 区 表 位 置 的 值 均 为 "00”, 即 该 U 盘 的 0 号 扇 区 没有 分 区 


[abcd71 


图 7.150 附加 abcd715. vhd 后 的 磁盘 1 


[asems vha) | 

Partitie 4 joned | 1 4 

1 

| set |o 12 3 4 S 6 7 8 9 AB C CDE E E| Ñ 
00000180 |67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74 g operating syst 


DetauEd | 00000190 |65 6D 00 00 00 63 7B 9A 36 SD FE 08 DF E3 00 02 em...c{16]þ.83 
Stamgna | 000001A0 |03 00 07 FE 3F 3E 80 00 00 00 OO 88 OF OO 00 OO ...b?>l. 
Undoleva | 00000180 |00 00 00 00 00 00 00 00 B4 9D 33 A9 00 00 00 00 
Undorwa | 000001C0 |00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 

000001D0 |00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
000001E0 |00 00 00 00 00 00 00 00 oo 00 00 00 00 00 00 00 
i 000001F0 |00 00 00 00 00 00 OO 00 DO 00 00 00 00 00 55 AA 


Secior 6 of 389121 J orset 1E =0 Block a| Size: ma 


图 7.151 U 盘 的 0 号 扇 区 


表 , 需 要 恢复 分 区 表 。 
步骤 4 由 于 DU 盘 的 文件 系统 为 FAT32, 查 找 FAT32_DBR, 在 6 号 扇 区 找到 ,如 图 7. 152 


所 示 。 继 续 向 下 查找 FAT32_DBR ,没有 找到 。 由 此 可 以 推断 ,6 号 扇 区 为 FAT32_DBR 或 者 


是 FAT32_DBR 备份 。 


总 扇 区 数 为 0X05F000， 即 389120 


保留 扇 区 为 0X1A2E， 即 6702 


34567 89ABCD EN | 
35 2E 30 00 02 O4[2E 1A] ëx.MSposs.o... 
3F 00 FF 00 00 00 00 OO .....0..7.9. 
|| Stateiginai | oooooczo 00 00 00 OO 02 00 00 OD .8..6. 
0000oc30 OI 00 06 00 00 00 00 00 OO 00 OO OO OO . àd 
0000oc40 80 00 29 52 FQ A 4E 4F 20 4E 41 4D 45 20 20 1.)R5..NO NAME 
ooooocso 20 20 46 41 S Q20 20 20 33 C9 BE D1 BC F4 FAT32 3ElNuo 
00000c60 TIDO5 .NIVG@ A 


Offset 
00000c00 
DefaultEd | 00000C10 


图 7.152 U 盘 的 6 号 扇 区 


步骤 5 查找 FAT 的 开始 扇 区 ,在 6702 号 扇 区 找到 ,如 图 7. 153 所 示 ; 继续 向 下 查找 


FAT 的 开始 扇 区 ,在 7447 号 扇 区 找到 ,如 图 7. 154 所 示 ; 继续 向 下 查找 FAT 的 开始 扇 区 , 没 


有 找到 。 


Offset |0 1 2 3 4 5 6 7 8 9 A B C D E F| = 
00345C00 |FB FF FF OF FF FF FF FF 03 00 00 OO CC 61 00 00 Byy.yyyy. ` 

DetautEd | 00345C10 |FF FF FF OF 06 00 00 00 FF FF FF OF 08 00 00 00 yyy. yy. 
Stamgna | 00345C20 |09 00 00 00 OA 00 00 00 OB 00 00 00 OC 00 00 OO .. 
Undolevæ | 00345C30 |FF FF FF OF OE 00 00 00 OF 00 00 00 10 00 00 OO yyy. 


Sector 6702 of 389121 345C00 = 248 Biocc maj Sze- 


7.153 Uk) 6702 号 扇 区 
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Doers wa | 
Partoning style- unparttioned fioppy'superloppYCDIDVD) 
Name ~ 


L Offset |0 1 2 3 4 5 6 7 8 9 AB C D E FZ 
003A2E00 FB FF FF OF FF FF FF FF 03 00 00 00 CC 61 00 OO Byy.yyyy. 
DefaultEd | 003A2E10 FF FF FF OF 06 00 00 00 FF FF FF OF 08 OO 00 OO yyy. 
Staliginal | 003A2E20 09 00 00 00 OA 00 00 00 OB 00 00 00 OC 00 00 OO .... 
Undoleva | 003A2E30 FF FF FF OF OE 00 00 00 OF 00 00 00 10 00 00 OO yyy.... 
Sector 7447 of 389121 | Ofset 3A2E00 =248 Block wa | Sze: 


7.154 UI 7447 号 扇 区 


由 此 可 以 推断 ,FATI1 表 开 始 扇 区 号 为 6702 ,而 FAT2 表 开 始 扇 区 号 为 7447 。 
式 (5.14) 可 知 : 
每 个 FAT 表 所 占 扇 区 数 二 FAT2 表 开 始 扇 区 号 一 FAT1 表 开 始 扇 区 号 
= 7447 — 6702 = 745 
F FATI 表 开 始 扇 区 号 为 6702 ,正好 等 于 FAT32_DBR 中 的 保留 扇 区 数 。 
式 (5. 10) 可 知 ， 
FAT32_DBR 所 在 扇 区 号 = FAT1 表 开 始 扇 区 号 一 保留 扇 区 数 
= 6702 — 6702 = 0 
此 可 以 推断 ,该 U 盘 没 有 主 引导 扇 区 ,也 就 是 说 ,没有 分 区 表 ; 而 6 号 扇 区 为 FAT32_ 
DBR 备份 ; 这 种 情况 非常 军 见 ,恢复 U 盘 0 SX FAT32_DBR 。 

步骤 6 将 0 号 扇 区 以 文件 的 形式 存储 ,文件 名 和 存储 位 置 自 定 , 将 6 号 扇 区 复制 到 0 号 
WK ,存盘 并 退出 WinHex, 

步骤 7 使 用 计算 机 管理 中 的 磁盘 管理 功能 附加 素材 中 的 abcd715. vhd 文件 ,附加 后 的 
磁盘 为 磁盘 1; 在 资源 管理 器 中 对 应 的 逻辑 盘 符 为 H: ,可 以 查看 到 H 盘 中 存储 的 全 部 文件 来 
和 文件 夹 。 

【所 用 时 间 】〗 5 分 钟 

【客户 评价 】 非常 满意 

【形成 原因 分 析 】 造成 0 号 扇 区 被 破坏 的 主要 原因 可 能 是 用 户 在 没有 将 U 盘 印 下 的 情 
况 下 ,直接 将 U 盘 从 USB 口 拔 出 ; 或 者 是 计算 机 病毒 破坏 。 

【温馨 提示 】〗 直接 将 U 盘 从 USB 口 拔 出 前 ,一 定 要 将 U RHF; 如 果 无 法 卸 下 ,请 关闭 
计算 机 后 ,再 将 U 盘 从 USB ARH; 定期 或 者 不 定期 使 用 杀毒 软件 对 U 盘 进 行 杀毒 。 

$: 用 户 也 可 以 使 用 下 列 方法 来 恢复 ,由 于 篇 幅 限 制 , 该 方法 请 读者 自行 实践 。 

(1) 将 6 号 扇 区 作为 FAT32_DBR 来 处 理 , 保 留 扇 区 数 和 总 扇 区 数 减少 6 个 扇 区 , 即 保留 
扇 区 数 由 6702( 注 : 存储 形式 为 "2E 1A”) 修 改 为 6696( 注 : 存储 形式 为 "28 1A”); 总 扇 区 数 
由 389120( 注 : 存储 形式 为 “00 FO 05 00”) 修 改 为 389114( 注 : 存储 形式 为 "FA EF 05 00”), 

(2) 由 于 分 区 表 存 储 在 0 号 扇 区 ,而 FAT32_DBR 在 6 号 扇 区 ,所 以 ,MBR 分 区 表 中 的 相 
对 扇 区 为 06( 注 : 在 分 区 中 的 存储 形式 为 “06 00 0000”) ,而 总 扇 区 数 为 389114( 注 : 在 分 区 中 
的 存储 形式 为 "FA EF 05 00”) ,而 文件 系统 为 FAT32; 分 区 标志 为 “0C” 或 “0B”。 

(3) 分 区 表 为 “00 01 01 00 0C FE FF FF 06 00 00 00 FA EF 05 00”, 将 分 区 表 填 入 到 0 号 
扇 区 偏 移 0X01BE—0X01CD 处 ; 存盘 并 退出 WinHex. 

【案例 3 

【客户 描述 】 U 盘 的 文件 系统 为 FAT32 ,在 Windows 7 F .3⁄ U 盘 插 入 计算 机 的 USB 
口 后 ,在 资源 管理 器 中 没有 出 现 U 盘 的 盘 符 提示 ( 注 : 素材 文件 名 为 abcd716. vhd) 。 
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【分 析 】 根据 客户 描述 ,可 能 的 原因 是 : U 盘 的 0 号 扇 区 已 被 破坏 。 


[ERRA] 
扇 区 。 
【恢复 思路 】 


经 查找 ,FAT32_DBR 没有 查 到 ,FATI1 KA FAT? 表 正 常 ; 需要 恢复 0 号 


恢复 U 盘 的 0 号 扇 区 FAT32_DBR; 或 者 恢复 U 盘 的 0 号 扇 区 主 引 导 记 


KMBR 分 区 表 和 分 区 结束 标志 ,确定 FAT32_DBR 所 在 扇 区 号 并 恢复 FAT32_DBR 。 


【操作 系统 】 
【使 用 软件 】 
【操作 步 又】 


Windows 7 
WinHex 软件 15. 1 


步骤 1 使 用 计算 机 管理 中 的 磁盘 管理 功能 附加 素材 中 的 abcd716. vhd 文件 后 形成 磁盘 
1, 如 图 7.155 所 示 。 从 图 7.155 可 知 ,磁盘 1 没有 初始 化 ", 在 资源 管理 器 中 没有 查看 到 U 盘 
产生 的 逻辑 盘 符 ,分 离 abcd716. vhd 文件 。 


~ [8 =e g =o= Erase g amo 8 saon | 


7.155 附加 abcd716. vhd 后 的 磁盘 1 


步骤 2 使 用 WinHex 打开 abcd716. vhd 文件 并 映像 为 磁盘 ; 将 光标 移动 到 0 号 扇 区 , 查 
看 主 引导 扇 区 ,发现 0 号 扇 区 的 内 容 全 为 “00”, 可 以 判断 0 号 扇 区 已 经 被 破坏 ; 需要 恢复 0 号 
扇 区 的 主 引导 记录 、 分 区 表 和 扇 区 结束 标志 。 

步骤 3 H T U 盘 的 文件 系统 为 FAT32, 查找 FAT32_DBR, 没 有 找到 ; 可 以 判断 


FAT32_DBR 及 其 备份 已 经 被 破坏 ; 需要 确定 FAT32_DBR 所 在 扇 区 号 并 恢复 FAT32 


DBR 。 


步骤 4 需要 计算 FAT32_DBR 中 的 参数 , 即 计算 每 个 簇 的 扇 区 数 、 保 留 扇 区 数 .总 扇 区 


数 和 每 个 FAT 表 


占用 扇 区 数 这 4 个 参数 。 


HRS 通过 子 目 录 的 特征 值 ,在 9324 号 扇 区 查找 到 第 1 个 子 目 录 的 开始 扇 区 ,如 图 7. 156 
所 示 。 从 图 7. 156 可 知 , 第 1 个子 目录 的 开始 扇 区 号 为 9324 ,而 开始 簇 号 为 568( 注 : 存储 形 
式 见 图 7.156 中 的 2 个 方 框 ) 。 


子 目录 开始 敌 号 高 16 位 。 此 二 下 TERIER SHR 
00360U500 20 20 20 20 20 20 20 20 10 DP T. ‘ZAI 
00480810 |57 4B 5 P 57 4B[38 02|o0 00 00 00 wewr..AIwk8....@ 
AT 


Füelgyster 


Default Ed 
Stateiginal 
Undo levél 
Sector 9324 


按 F3 键 继续 


0048D820 |2E 2E 20 20 20 20 20 20 20 20 20 10 00 2F C4 80 .. + ZÀ, 
0046D630 |57 4B 57 4B 00 00 C5 80 57 4B 00 00 00 00 00 00 WEWK..AIWK...... - 
‘ 
of348161 Offset 48D81F =0 Block 400 -5FF | Size: 200 


E 7.156 在 9324 号 扇 区 找到 第 1 个 子 目录 的 开始 肩 区 
向 下 查找 ,在 66986 号 扇 区 查找 到 第 2 个 子 目录 的 开始 扇 区 ,如 图 7. 157 所 


示 , 从 图 7.157 可 知 ,第 2 个子 目录 的 开始 扇 区 号 为 66986 ,而 开始 簇 号 为 29399( 注 : 存储 形 
式 见 图 7. 157 中 的 2 个 方 框 ) 。 
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TEJER RIGLI D 


° `a 
02085410 57 4B 57 4BLoo_00jcs 80 57 4B[D7 72]|00 00 00 i WEWE. AWET.. a 
DefaultEd | 02085420 2E 2E 20 20 20 20 20 20 


20 20 20 10 00 60 C4 80 .. s 
Shaginal | 02085430 |57 4B 57 4B 00 DO c5 80 57 4B 38 02 00 00 00 00 WRWK..AIWR8..... - 
Ungo tove | ER | 


Sedor 66986 of 348161 | Offset 


3 
400 - 5FF | Size: 200 


图 7.157 fE 66986 号 扇 区 找到 第 2 个 子 目录 的 开始 扇 区 
由 式 (5. 23) 可 知 : 
每 个 簇 的 扇 区 数 = (第 2 个 子 目 录 开 始 扇 区 号 一 第 1 个 子 目录 开始 扇 区 号 ) 一 
(第 2 个 子 目 录 开 始 艇 号 一 第 1 个 子 目 录 开 始 篮 号 ) 
(66986 — 9324) — (29399 — 568) = 2 
步骤 6 通过 FAT 的 特征 值 ,在 5534 号 扇 区 查找 到 FATI 表 开 始 扇 区 ; 按 “F3” 键 继续 
向 下 查找 ,在 6863 号 扇 区 查找 到 FAT2 表 开 始 扇 区 。 
式 (5. 14) 可 知 ， 
每 个 FAT 表 占 扇 区 数 = FAT? 表 开 始 扇 区 号 一 FAT1 表 开 始 扇 区 号 
一 6863 一 5534 一 1329 
步骤 7 估算 FAT32 文件 系统 数据 区 所 占 扇 区 数 。 
由 于 每 个 FAT 占 1329 个 扇 区 ,所 以 
FAT32 文件 系统 数据 区 最 大 占用 簇 数 = 每 个 FAT 表 占 扇 区 数 X 128 一 2 
= 1329 X 128 — 2 = 170110 
FAT32 文件 系统 数据 区 最 小 占用 复数 = (每 个 FAT 表 占 扇 区 数 一 1) X 128 一 2 十 1 
(1329 一 1) X 128 — 2 + 1 = 169983 


H T bj E BJ KRO 2, A .FAT32 文件 系统 数据 区 占用 扇 区 数 在 339966 一 340220 
之 间 。 


20B541F =0 Block 


步骤 8 假设 FAT32_DBR 存储 在 该 U 盘 的 0 号 扇 区 , 即 FAT1 表 开 始 扇 区 号 为 保留 记 
区 数 , 由 式 (5.3) 可 知 : 
BHARA KA= 保留 扇 区 数 十 每 个 FAT 表 占 扇 区 数 x 2 十 数据 区 占用 最 大 扇 区 数 
一 5534 十 1329 X 2 十 340220 一 348412 
逻辑 盘 最 小 总 扇 区 数 = 保留 扇 区 数 十 每 个 FAT 表 占 扇 区 数 x 2 十 数据 区 占用 最 小 扇 区 数 
= 5534 + 1329 X 2 + 339966 = 348158 
逻辑 盘 的 最 大 容量 = 22 38 8 a K i B) PC #k X 512/1024/1024MB = 170. 123MB 
逻辑 盘 的 最 小 容量 二 逻辑 盘 最 小 总 扇 区 数 X 512/1024/1024MB = 169. 999MB 
所 以 ,逻辑 盘 的 容量 为 169. 999 一 170. 123MB。 由 于 用 户 在 建立 分 区 时 ,分 区 容量 只 可 能 
输入 正 整数 ,由 此 可 以 推断 ,逻辑 盘 的 容量 为 170MB。 
逻辑 盘 占 用 总 扇 区 数 = 逻辑 盘 容 量 /512 Bl X / 字 节 = 170MB/512 HX / 字 节 
= 170 X 1024 X 1024/512 Bj X = 348160 J X 


综 上 所 述 , 假 设 FAT32_DBR 存储 在 U 盘 的 0 号 扇 区 ,FAT32_DBR 的 部 分 参数 见 表 7. 32 
所 列 。 
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表 7.32 需要 计算 FAT32_DBR 的 BPB 参数 


字 节 位 移 | FHA & AX a 
十 进 制 十 六 进 制 存储 形式 
0X0D 1 AKA 2 2 02 
OXOE 2 GELES 5534 159E 9E 15 
0X1C 4 隐藏 扇 区 数 0 0 00 00 00 00 
0X20 4 总 扇 区 数 348160 55000 00 | 50 | 05 | 00 
0X24 4 每 个 FAT 所 占 扇 区 数 1329 531 31 | 05 | oo | oo 


步骤 9 将 同一 版 本 的 FAT32_DBR 复制 到 U 盘 的 0 号 扇 区 ,并 修改 每 个 篮 的 扇 区 数 、 保 
留 扇 区 数 .总 扇 区 数 和 每 个 FAT 表 占 用 扇 区 数 , 如 图 7. 158 所 示 ; 存盘 并 退出 WinHex, 


【总 启 区 数 修改 为 00 so 05 00 H stais Jr = = 
Fuauystas FET /A 90 4D 53 44 4F 53 3 a ëxX.MSD0S5.0...l. 
00000010 00 00 一 00 F8 00 一 3F 00 FF PH 00 00 OO|NO ..... # Ya E 
DefautEd | 00000020 00 00 00 00 02 00 00 <s. 
Statsiginal | 00000030 |01 00 06 D0 0g 00 a 00 00 00 00 00 00 00 
Undolevg | 00000040 |80 00 29 6C, ÑO 4E 4F 20 4E 41 4D 45 20 


Undorm | 00000050 |20 2p— Pee - 
Sector0 of 348161 d 每 个 FAT 表 扇 区 数 修改 为 31 05 00 00 


7.158 修改 好 的 U 盘 0 号 扇 区 FAT32_DBR 


步骤 10 使 用 计算 机 管理 中 的 磁盘 管理 功能 附加 素材 中 的 abcd716. vhd 文件 ,附加 后 的 
磁盘 为 磁盘 1; 在 资源 管理 器 中 对 应 的 逻辑 盘 符 为 H: 可 以 查看 到 H 盘 中 存储 的 全 部 文件 夹 
和 文件 夹 。 

【所 用 时 间 】 8 分 钟 

【客户 评价 】 非常 满意 

【形成 原因 分 析 】 造成 0 号 扇 区 以 及 其 多 个 扇 区 被 破坏 的 主要 原因 可 能 是 计算 机 病毒 
破坏 。 

【 温 声 提示】 定期 或 者 不 定期 使 用 杀毒 软件 对 U 盘 进 行 杀 毒 。 

注 : 用 户 也 可 以 使 用 下 列 方法 来 恢复 ,由 于 篇 幅 限制 ,该 方法 请 读者 自行 实践 。 

(1) 将 FAT32_DBR 存放 在 1 一 5533 号 扇 区 中 的 任意 一 个 扇 区 ,对 应 的 分 区 表 存 放 在 0 
号 扇 区 偏 移 0X01BE—0X01CD 处 。 

(2) 在 FAT32_DBR 参数 中 ,每 个 簇 的 扇 区 数 为 2、 每 个 FAT 占用 扇 区 数 为 1329, 根 据 
FAT32_DBR 所 在 扇 区 号 ,重新 计算 FAT32_DBR 参数 中 保留 扇 区 数 和 总 扇 区 数 。 

(3) 计算 0 号 扇 区 的 MBR 分 区 表 。 

【案例 41 

【客户 描述 】 UU 盘 的 文件 系统 为 FAT32 .在 Windows 7 下 ,将 U 盘 插 入 计算 机 的 USB 
口 后 ,在 资源 管理 器 中 没有 出 现 U 盘 的 盘 符 提示 ( 注 : 素材 文件 名 为 abcd717. vhd) 。 

【分 析 】 根据 客户 描述 ,可 能 的 原因 是 : U 盘 的 0 号 扇 区 已 被 破坏 。 

[ERRA] 经 查找 ,U 盘 的 FAT2 表 完 好 ,FATI1 表 、FAT32_DBR 和 FAT32_DBR 备 
份 已 被 破坏 ,需要 恢复 FAT32_DBR Ñ FATI K. 

【恢复 思路 】 通过 FAT2 表 恢 复 FAT1 表 ; 恢复 U 盘 0 号 扇 区 的 FAT32_DBR 或 者 恢 
复 品 盘 的 0 号 扇 区 主 引 导 记 录 、MBR 分 区 表 和 分 区 结束 标志 ,确定 FAT32_DBR 所 在 扇 区 号 
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并 恢复 FAT32_DBR 。 
【操作 系统 】 Windows 7 
【使 用 软件 】 WinHex 软件 15. 1 
【操作 步骤 】 
步骤 1 一 步骤 4 与 案例 3 中 步骤 1 一 步骤 4 相同 。 
步骤 5 查找 第 1 个 子 目 录 的 开始 扇 区 ,在 11571 号 扇 区 找到 。 从 11571 号 扇 区 的 第 1 个 
目录 项 可 知 ,该 目录 的 开始 簇 号 为 3381( 注 : 簇 号 的 高 16 位 存储 形式 为 “00 00”, 低 16 位 存储 
形式 为 “35 0D”). 
步骤 6 继续 向 下 查找 第 2 个 子 目 录 的 开始 扇 区 ,在 69219 号 扇 区 找到 ,从 69219 号 扇 区 
的 第 1 个 目录 项 可 知 ,该 目录 的 开始 簇 号 为 61029( 注 : 簇 号 的 高 16 位 存储 形式 为 “00 00”, 低 
16 位 存储 形式 为 “65 EE”), 
式 (5.23) 可 知 : 
每 个 簇 的 扇 区 数 — (第 2 个 子 目 录 的 开始 扇 区 号 一 第 1 个子 目录 的 开始 扇 区 号 ) + 
(第 2 个 子 目 录 的 开始 簇 号 一 第 1 个 子 目 录 的 开始 簇 号 ) 
(69219 一 11571) 二 (61029 — 3381) = 1 
步骤 7 通过 FAT 的 特征 值 ,在 5215 号 扇 区 查找 到 FAT 表 开 始 扇 区 ; 继续 向 下 查找 ， 
没有 找到 ; 由 此 可 以 推断 ,5215 号 扇 区 为 FAT2 表 开 始 扇 区 号 ,而 FATI1 表 开始 扇 区 号 已 被 
破坏 。 


此 可 以 推断 ,该 FAT32 文件 系统 的 FAT32_DBR、FAT32_DBR 备份 以 及 FAT1 KE 
经 被 破坏 ,需要 恢复 。 
步骤 8 计算 2 号 簇 的 开始 扇 区 号 ,由 于 FAT32 文件 系统 数据 区 的 开始 簇 号 为 2。 
由 式 (5. 23) 可 知 : 
每 个 簇 的 扇 区 数 二 (第 1 个 子 目录 开始 扇 区 号 一 根 目录 开始 扇 区 号 ) 二 
(第 1 个子 目录 开始 簇 号 一 根 目 录 开 始 簇 号 ) 
1 = (11571 一 根 目录 开始 扁 区 号 ) + (3381 — 2) 
所 以 , 根 目录 开始 扇 区 号 ( 即 2 号 艇 开始 扁 区 号 ) 二 8192 
步骤 9 计算 每 个 FAT 表 占 扇 区 数 , 由 式 (5. 14) 可 知 : 
每 个 FAT 表 占 扇 区 数 = 根 目录 开始 扇 区 号 ( 即 2 号 复 开 始 扇 区 号 ) 一 FAT2 表 开 始 扇 区 号 
= 8192 — 5215 = 2977 
由 式 (5.14) 可 知 : 
FATI 表 开 始 扇 区 号 = FAT2 表 开始 扇 区 号 一 每 个 FAT K h A K 
= 5215 — 2977 = 2238 

所 以 ,FATI1 表 占 用 扇 区 号 范围 为 2238 一 5214; 而 FAT2 表 占 用 扇 区 号 范围 为 5215 — 
8191, 

步骤 10 将 2238 一 5214 号 扇 区 以 文件 的 形式 存储 ,文件 名 和 存储 位 置 自 定 , 将 5215— 
8191 号 扇 区 复制 到 2238—5214 号 扇 区 处 , 即 通过 FAT2 KH FATI K. 

步骤 11 估算 FAT32 文件 系统 数据 区 所 占 扇 区 数 。 
日 于 每 个 FAT 占 2977 4 B X ,所 以 

FAT32 文件 系统 数据 区 最 大 占用 复数 = 每 个 FAT 表 占 扇 区 数 X 128 — 2 

= 2977 X 128 — 2 = 381054 
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FAT32 文件 系统 数据 区 最 小 占用 复数 = (每 个 FAT 表 占 扇 区 数 一 1) x 128 一 2 十 1 
(2977 — 1) X 128 — 2 + 1 = 380927 
于 每 个 簇 的 扇 区 数 为 1, 因 此 ,FAT32 文件 系统 数据 区 占用 扇 区 数 在 380927—381054 


之 间 。 

步骤 12 假设 FAT32_DBR 存储 在 该 U 盘 的 0 号 扇 区 , 即 FATI 表 开始 扇 区 号 为 保留 
CESE 

由 式 (5.3) 可 知 : 


逻辑 盘 最 大 总 扇 区 数 = 保留 扇 区 数 十 每 个 FAT 表 占 扇 区 数 x 2 十 数据 区 占用 最 大 扇 区 数 
= 2238 + 2977 X 2 + 381054 = 389246 
逻辑 盘 最 小 总 扇 区 数 = 保留 扇 区 数 十 每 个 FAT # H B) X 3k x 2 十 数据 区 占用 最 小 扇 区 数 
= 2238 + 2977 X 2 + 380927 = 389119 
逻辑 盘 的 最 大 容量 = 逻辑 盘 最 大 总 扇 区 数 X 512/1024/1024MB 
190. 0615MB 
逻辑 盘 最 小 总 扇 区 数 x 512/1024/1024MB 
= 189. 9995MB 
所 以 ,逻辑 盘 的 容量 为 189. 9995 一 190.0615MB。 由 于 用 户 在 建立 分 区 时 ,分 区 容量 只 可 
能 输入 正 整 数 , 由 此 可 以 推断 ,逻辑 盘 的 容量 为 190MB。 
逻辑 盘 占 用 总 扇 区 数 = 逻辑 盘 容 量 /512 扇 区 / 字 节 = 190MB/512 J X / 字 节 
= 190 X 1024 X 1024/512 X = 389120 J X 
综 上 所 述 , 假 设 FAT32_DBR 存储 在 U 盘 的 0 号 扇 区 ,FAT32_DBR 的 部 分 参数 见 表 7. 33 


逻辑 盘 的 最 小 容量 


所 列 。 
表 7.33 需要 计算 FAT32_DBR 的 BPB 参数 
值 
字 节 位 移 | 字 节 数 & x 
十 进 制 十 六 进 制 存储 形式 

0X0D 1 GESU 1 1 01 

OXOE 2 保留 扇 区 数 2238 8BE BE 08 
0X1C 4 隐藏 扇 区 数 0 0 oo | oo | oo | o0 
0X20 4 总 扇 区 数 389120 5F000 00 FO 05 00 
0X24 4 每 个 FAT 所 占 扇 区 数 2977 BA1 Al | 0B | oo | 00 


步骤 13 将 同一 版 本 的 FAT32_DBR 复制 到 U 盘 的 0 号 扇 区 ,并 按 表 7. 33 修改 每 个 簇 
的 扇 区 数 、 保 留 扇 区 数 .总 扇 区 数 和 每 个 FAT 表 占 用 扇 区 数 , 如 图 7. 159 所 示 。 


Partitioning style: unparitioned ) 1 files, 1 partitior 
Name ~ [Created am Tistsecor ] 
Z volume FAT32 190MB ° 


Lu | Offset |0 1 2 3 4 5 6 7 8 9 AB C D E FZ 

~ | oo000000 EB 58 90 4D 53 44 4F 53 35 2E 30 00 02[0l[BE os ex.usposs.o...<.| 
Defa | 00000010 02 00 00 00 00 F8 00 00 3F 00 FF 00[00 000000|..... e..?.9..... 
Sital aJ 


00000020 00 00 00 00 02 00 00 OD .á 
Unde | 00000030 |01 00 06 00 OO 00 OO OO 00 00 00 00 00 00 00 OO .. 
Ura | 00000040 80 01 29 58 17 D8 DA 4E 4F 20 4E 41 4D 45 20 20 I.)X. 


Sector 0 of 389121 Ofset 2F =0 Block n/a | Size: n 


Æ 7.159 Rih U # o 5AE FAT32_DBR 
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步骤 14 使 用 计算 机 管理 中 的 磁盘 管理 功能 附加 素材 中 的 abcd717. vhd 文件 ,附加 后 的 
磁盘 为 磁盘 1; 在 资源 管理 器 中 对 应 的 逻辑 盘 符 为 H: 可 以 查看 到 H 盘 中 存储 的 全 部 文件 夹 
和 文件 夹 。 

【所 用 时 间 】 10 分 钟 

【客户 评价 】 非常 满意 

【形成 原因 分 析 】 造成 0 号 扇 区 至 FAT1 表 的 部 分 扇 区 被 破坏 的 主要 原因 可 能 是 计算 机 
病毒 破坏 。 

【温馨 提示 】〗 定期 或 者 不 定期 使 用 杀毒 软件 对 U 盘 进 行 杀 毒 。 

$: 用 户 也 可 以 使 用 下 列 方法 来 恢复 ,由 于 篇 幅 限 制 , 该 方法 请 读者 自行 实践 。 

(1) 通过 FAT2 KRH FATI K. 

(2) 将 FAT32_DBR 存放 在 1 一 2237 号 扇 区 中 的 任意 一 个 扇 区 ,对 应 的 分 区 表 存 放 在 0 
号 扇 区 偏 移 0X01BE—0X01CD 处 。 

(3) 在 FAT32_DBR 参数 中 ,每 个 簇 的 扇 区 数 为 1、 每 个 FAT 表 占 用 扇 区 数 为 2977 ,根据 
FAT32_DBR 所 在 扇 区 号 ,重新 计算 FAT32_DBR 参数 中 保留 扇 区 数 和 总 扇 区 数 。 

(4) 计算 0 号 扇 区 的 MBR 分 区 表 。 

【案例 5] 

【客户 描述 】 移动 硬盘 只 有 一 个 分 区 ,对 应 的 文件 系统 是 NTFS, E Windows 7 下 ,将 移 
动 硬盘 插入 计算 机 的 USB 口 后 ,在 资源 管理 器 中 没有 出 现 盘 符 提示 ( 注 : 素材 文件 名 为 
abcd718. vhd) 。 

【分 析 】 根据 客户 描述 ,在 资源 管理 器 中 没有 出 现 盘 符 提示 。 可 能 的 原因 是 : 移动 硬盘 
的 0 号 扇 区 已 被 破坏 。 

【查找 原因 】 经 查找 ,该 移动 硬盘 的 NTFS_DBR 已 被 破坏 ,而 NTFS_DBR 备份 完好 。 

【恢复 思路 】 需要 计算 NTFS_DBR 所 在 扇 区 号 ,通过 NTFS_DBR 备份 恢复 NTFS_ 
DBR; 通过 NTFS_DBR 所 在 扇 区 号 和 总 扇 区 数 ,计算 0 号 扇 区 的 MBR 分 区 表 , 并 恢复 MBR 
分 区 表 。 

【操作 系统 】 Windows 7 

【使 用 软件 】 WinHex 软件 15. 1 

【操作 步 又】 

步骤 1 使 用 计算 机 管理 中 的 磁盘 管理 功能 附加 素材 中 的 abcd718. vhd 文件 后 形成 磁盘 
1 ,出 现 *“ 磁 盘 1 没有 初始 化 ”提示 ,在 资源 管理 器 中 无 法 查看 到 移动 硬盘 产生 的 逻辑 盘 符 ,分离 
abcd718. vhd 文件 。 

步骤 2 使 用 WinHex 打开 abcd718. vhd 文件 并 映像 为 磁盘 ; 将 光标 移动 到 整个 硬盘 的 
0 B) X ,发 现 0 号 扇 区 的 内 容 为 乱码 ,可 以 判断 0 号 扇 区 已 经 被 破坏 ,需要 恢复 。 

步骤 3 查找 NTFS_DBR ,在 614399 号 扇 区 找到 ,如 图 7. 160 所 示 。 从 图 7. 160 TA, 
NTFS 文件 系统 的 总 扇 区 数 为 614399( 注 : 存储 形式 为 FF 5F 09 00 00 00 00 00); 正好 等 于 
NTFS_DBR 所 在 扇 区 号 ,由 此 可 以 推断 ,614399 号 扇 区 为 NTFS_DBR 备份 ; 此 移动 硬盘 没 
有 主 引 导 扇 区 , 即 NTFS_DBR 存储 在 移动 硬盘 的 0 号 扇 区 。 

步骤 4 将 0 号 扇 区 以 文件 的 形式 存储 ,文件 名 和 存储 位 置 自 定 ,将 614399 号 扇 区 复制 
到 0 号 扇 区 ,存盘 并 退出 WinHex, 

步骤 5 使 用 计算 机 管理 中 的 磁盘 管理 功能 附加 素材 中 的 abcd718. vhd 文件 ,附加 后 为 磁盘 


é ¿snguz 
Offset G 12 3 4 56 7 89ABCDERF 


12BFFE00 | EB 52 90 4E 54 46 53 20 20 20 20 00 02 08 00 00 | ëR.NTFS 
12BFFE10 |00 00 00 00 00 F8 00 00 3F 00 FF 00 00 00 00 OD .....e..?.y.... 


12BFFE20 DO 00 00 00 80 00 80 00 [FF SF 09 00 00 00 00 OO]... 


12BFFE30 00 64 OO OO OD 00 OD DO 02 00 00 00 OO OO OO OD | .d. 
12BFFE40 F6 00 OO 00 01 00 00 DO D8 E2 40 FO F5 40 FO 90 ages. 
12BFFE50 | 00 00 00 00 FA 33 CO BE DO BC 00 7C FB 68 CO O7| ....u3AlDy. |ihA. 


Sector 614399 of 614401 | Offset — 428FFE1F =0| Block nia) Size: 


Æ 7.160 NTFS_DBR 备份 


1; 在 资源 管理 器 中 对 应 的 逻辑 盘 符 为 HH:, 可 以 查看 到 H 盘 中 存储 的 全 部 文件 夹 和 文件 。 

【所 用 时 间 】 5 分 钟 

【客户 评价 】 非常 满意 

【形成 原因 分 析 】 造成 0 号 扇 区 被 破坏 的 主要 原因 可 能 是 用 户 在 没有 将 移动 硬盘 人 卸 下 的 
情况 下 ,直接 将 移动 硬盘 从 USB 口 拔 出 ; 或 者 是 计算 机 病毒 破坏 。 

【温馨 提示 】〗 直接 将 移动 硬盘 从 USB 口 拔 出 前 ,一 定 要 将 移动 硬盘 卸 下 ; 如 果 无 法 印 
下 ,请 关闭 计算 机 后 ,再 将 移动 硬盘 从 USB 口 拔 出 ; 定期 或 者 不 定期 使 用 杀毒 软件 对 移动 硬 
盘 进行 杀毒 。 

【案例 6 

【客户 描述 】 移动 硬盘 只 有 一 个 分 区 ,对 应 的 文件 系统 是 NTFS, E Windows 7 下 ,将 移 
动 硬盘 插入 计算 机 的 USB 口 后 ,在 资源 管理 器 中 没有 发 现 盘 符 提示 ( 注 : 素材 文件 名 为 
abcd719. vhd) 。 

【分 析 】 根据 客户 描述 ,在 资源 管理 器 中 没有 发 现 盘 符 提示 。 可 能 的 原因 是 : 移动 硬盘 
的 0 号 扇 区 已 被 破坏 。 

【查找 原因 】 经 查找 ,在 移动 硬盘 中 没有 找到 NTFS_DBR ,该 移动 硬盘 的 NTFS_DBR 
和 NTFS_DBR 备份 已 被 破坏 。 

【恢复 思路 】 需要 计算 NTFS_DBR 所 在 扇 区 号 ,恢复 NTFS_DBR; 计算 0 号 扇 区 的 
MBR 分 区 表 ,并 恢复 MBR 分 区 表 。 

【操作 系统 】 Windows 7 

【使 用 软件 】 WinHex 软件 15. 1 

步骤 1 使 用 计算 机 管理 中 的 磁盘 管理 功能 附加 素材 中 的 abcd719. vhd 文件 后 形成 磁盘 
1 ,出 现 * 磁 盘 1 没有 初始 化 ”, 在 资源 管理 器 中 无 法 查看 到 移动 硬盘 产生 的 逻辑 盘 符 ,分 离 
abcd719. vhd 文件 。 

步骤 2 使 用 WinHex 打开 abcd719. vhd 文件 并 映像 为 磁盘 ; 将 光标 移动 到 0 号 扇 区 ,发 
现 0 号 扇 区 的 内 容 为 乱码 ,可 以 判断 0 号 扇 区 已 经 被 破坏 ,需要 恢复 。 

步骤 3 查找 元 文件 $MFT 或 者 $ MFTMirr 的 0 号 记录 ,在 16 号 扇 区 找到 ,其 80H 属 
性 和 BOH 属性 如 图 7.161 所 示 。 


Offset 8 3 2 3 4 5 6 7 B 9 A P C 
000020F0 04 03 24 00 4D 00 46 00 54 00 00 00 00 
00002100 80 00 00 00 48 00 00 00 01 00 40 00 00 EË 
00002110 00 00 00 00 00 00 00 00 FF 00 00 00 00 gu 
00002120 40 00 00 00 00 00 00 00 aa 
00002130 00 00 10 00 00 00 00 00 0000 10 00 00 00 00 DO 
00002140 BO 00 00 00 48 00 00 00 
00002150 01 00 40 00 00 00 0S 00 00 00 00 00 00 00 00 00 
00002160 01 DO 00 00 00 00 00 00 40 00 00 00 00 00 00 00 
00002170 00 20 00 00 00 00 00 00 08 10 00 00 00 00 00 00 
00002180 08 10 00 00 00 00 00 00 21 01 FF dF 11 01FF00 
piu Ci Tee 


Æ 7.161 元 文件 $MFT sË $ MFTMirr 的 0 号 记录 80H 属性 
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从 图 7. 161 可 知 ,元 文件 $MFT 或 者 $ MFTMirr 的 0 号 记录 80H 属性 数据 运行 列表 为 
“22 00 01 00 50”, 系 统 分 配给 元 文件 $ MFT 的 空间 为 0X100000( 即 1048576) 字 节 
所 以 ,元 文件 $ MFT 的 开始 簇 号 为 0X5000( 即 20480) ,所 占 簇 数 为 0X0100( 即 256) 。 


晶 式 (6. 20) 可 知 : 


系统 分 配给 文件 的 空间 = 文件 所 占 簇 数 之 和 x 每 个 艇 的 扇 区 数 X 512 字 节 / 扇 区 
1048576 = 256 X 每 个 簇 的 扇 区 数 >x 512 字 节 / 扇 区 
因此 ,每 个 簇 的 扁 区 数 二 1048576 二 256 二 512 二 8 

步骤 4 由 于 每 个 徐 的 扇 区 数 等 于 8, 由 表 6.5 可 知 ,元 文件 $ MFT 每 条 记录 大 小 的 描述 


为 1024 字 节 ,在 NTFS_DBR 中 的 存储 形式 为 ~“F6”; 


NTFS_DBR 中 的 存储 形式 为 “01”。 

PRS 将 光标 移动 到 18 号 扇 区 ,其 80H 属性 如 图 7. 162 所 示 , 从 图 7. 162 可 知 ,元 文件 
$ MFT 或 者 $ MFTMirr 的 1 号 记录 数据 运行 列表 为 "11 01 02”, 所 以 ,元 文件 $ MFTMirr 的 
开始 簇 号 为 0X02( 即 02) ,所 占 簇 数 为 0X01( 即 1)。 


步骤 8 


Offset 
000024F0 
00002500 
00002510 
00002520 
00002530 
00002540 


0 1 2 


00 00 00 00 00 00 00 00 
00 10 00 00 00 00 00 00 


| Onset 24FF| 


0 54 00 4 
80 00 00 00 48 00 00 00 r.. 


E 


8 9 A C DE 
D 9 00 72 00 


B 
00 6! 


00 00 00 00 00 00 00 00 . 
40 00 00 00 00 00 00 00 . 
00 10 00 00 00 00 00 00 . 


00 10 00 00 00 00 00 0O [11 01 02 00 00 00 00 00). 


Sedor 18 of 491521 


=01 Block 


-$ 


每 个 索引 节点 大 小 的 描述 为 1 个 簇 ,在 


7.162 元 文件 $ MFT 或 $ MFTMirr 的 1 号 记录 80H 属性 


由 于 元 文件 $ MFT 的 开始 簇 号 大 于 元 文件 $ MFTMirr 的 开始 复 号 ,所 以 ,16 一 19 号 扇 
区 的 这 两 条 记录 属于 元 文件 $ MFTMirr 的 0 号 记录 和 1 号 记录 , 即 元 文件 $MFTMirr 的 开 
始 扇 区 号 为 16, 而 开始 艇 号 为 2。 

步骤 6 查找 元 文件 $MFT 的 8 号 记录 ,在 163856 号 扇 区 找到 ,其 2 个 80H 属性 如 
图 7.163 所 示 ; 从 图 7.163 第 2 个 80H 属性 可 知 , 坏 簇 号 为 61439( 存 储 形式 为 FF EF 00) ,所 
以 ,该 NTFS 对 应 的 逻辑 盘 总 复数 为 61440( 簇 号 范围 为 0 一 61439) 。 


|__Offset 
050020F0 
05002100 
05002110 
05002120 
05002130 
05002140 
05002150 
05002160 


Sector 163856 of 491521 


o 1 2 3 4 56 7 
08 03 24 00 42 00 61 00 
73 00 00 00 00 00 00 00 
00 00 18 00 00 00 02 00 
80 00 00 00 50 00 00 00 
o0 00 00 00 00 00 00 00 
48 00 00 00 00 00 00 00 
00 FO FF OE OO 00 00 00 
24 00 42 00 61 00 64 00 
| Offset 50020FF 


8 9 ABCDEF 
64 00 43 00 6C 00 75 00 
80 00 00 00 18 00 00 00 


00 00 00 00 18 00 00 00 . 


01 04 40 00 00 00 01 00 


FE EF 00 00 00 00 00 00 . 


00 FO FF OE 00 00 00 00 
00 00 00 00 00 00 00 00 


03 EE EE o0] o0 As oomoo S. 


-.$.B.a.d.C.1.u 


Æ 7.163 元 文件 $ MFT 的 8 号 记录 80H 属性 


由 于 每 个 簇 的 扇 区 数 二 8, 而 61439 Ë JBE. BI 61439 FRA 7 个 扇 区 ,所 以 ,该 
NTFS 对 应 的 逻辑 盘 总 扇 区 数 为 491519( 肩 区 号 范围 为 0 一 491518) 。 

步骤 7 由 于 每 个 复 的 扇 区 数 =8, 元 文件 $MFTMirr 的 开始 复 号 为 2, 开始 扇 区 号 为 
16 ,元 文件 $ Boot 的 开始 簇 号 固定 为 0; 所 以 ,元 文件 $Boot 的 开始 扇 区 号 为 0, 即 NTFS_ 
DBR 位 于 0 号 扇 区 。 也 就 是 说 ,该 移动 硬盘 没有 分 区 表 。 
综合 步骤 3 一 步骤 7, 需 要 计算 NTFS_DBR 中 的 BPB 参数 见 表 7. 34 所 列 。 


& 大 话 数据 恢复 


表 7.34 需要 计算 NTFS_DBR 的 BPB 参数 


字 节 | 字 节 4 5 值 

位 移 | 数 十 进 制 “| 十 六 进 制 存储 形式 

0X0D| 1 | MIRK 8 8 08 

0X1C| 4 | 隐藏 扇 区 数 0 00 00 00 00 00 
0X28 | 8 | 总 扇 区 数 491519 77FFF |FF|7F|07 | 00 | 00 | 00 | 00 | 00 
0X30 | 8 | 元 文件 $MFT FRES 20480 5000 |00|50|00|00|00|00|00|00 
0X38| 8 | 元 文件 $MFTMirr 开始 簇 号 z 2 02 | 00 | 00 | 00 | o0 | oo | oo | o0 
0X40| 1 | $ MFT 每 条 记录 大 小 描述 1024 字 节 F6 F6 

0X44 | 1 | 每 个 索引 节点 大 小 描述 1 个 簇 1 01 


步骤 9 将 0 号 扇 区 以 文件 的 形式 保存 ,文件 名 和 存储 位 置 自 定 。 将 同一 版 本 NTFS_ 
DBR 复制 到 0 号 扇 区 ,并 按 表 7. 34 中 的 参数 修改 NTFS_DBR 中 相应 的 BPB 参数 ,如 图 7.164 所 
示 , 然 后 存盘 并 退出 WinHex, 


Offset 0 12 34567 8 9ABCDEF 


00000000 EB 52 90 4E 54 46 53 20 20 20 20 00 02[55]00 00 ëR.NTFS PPP 
| o0000010 oo oo oo oo oo F8 oo oo 3F oo FF oofoo OO 00 OO]... 

00000020 00 00 00 00 80 00 80 00 sa 

00000030 .P. 

00000040 Edo0 po 00[o 可 00 00 00 01 B7 92 66 C6 92 66 86 ó........ "EEF 


oonnnnsn .55 00 00 00 FA 33 CO 8E DO BC 00 7C FB 68 CO 07 ....u3AlDk. ]ûhÀ. 
| Offset fF =0 Block na | Sze: 


图 7.164 RK 7.33 修改 NTFS_DBR 中 的 相应 BPB 参数 


步骤 10 使 用 计算 机 管理 中 的 磁盘 管理 功能 附加 素材 中 的 abcd719. vhd 文件 ,附加 后 为 
磁盘 1; 在 资源 管理 器 中 对 应 的 逻辑 盘 符 为 H:, 可 以 查看 到 H 盘 中 存储 的 全 部 文件 和 文 


件 夹 。 


【所 用 时 间 】 8 分 钟 

【客户 评价 】 非常 满意 

【形成 原因 分 析 】 造成 0 号 扇 区 被 破坏 的 主要 原因 可 能 是 : 用 户 在 没有 将 移动 硬盘 印 下 
的 情况 下 ,直接 将 移动 硬盘 从 USB 口 拔 出 ; 或 者 是 计算 机 病毒 的 破坏 。 

【温馨 提示 】 将 移动 硬盘 从 USB 口 拔 出 前 ,一 定 要 将 移动 硬盘 邱 下 ; 如 果 无 法 卸 下 ,请 
关闭 计算 机 后 ,再 将 移动 硬盘 从 USB 口 拔 出 ; 定期 或 者 不 定期 使 用 杀毒 软件 对 移动 硬盘 


杀毒 。 


【案例 7 


【客户 描述 】 在 Windows XP 操作 系统 下 ,硬盘 有 4 个 分 区 ,对 应 的 逻辑 盘 分 别 为 C 盘 、 
D ÈE AT F ERREN NTFS. APH E RM F 盘 分 区 删除 后 ,重新 建立 一 个 分 区 ， 
分 区 大 小 为 原来 下 盘 和 下 盘 容 量 之 和 ,该 分 区 所 对 应 的 逻辑 盘 为 下 盘 ; 用 户 突然 想到 ,原来 下 
AA F 盘 的 数据 没有 备份 ,要 求 恢 复原 来 下 盘 和 F 盘 的 数据 ( 注 : 素材 文件 名 为 abcd720 


.vhd) 。 


【分 析 】 根据 客户 描述 ,在 Windows XP 操作 系统 下 ,将 两 个 逻辑 盘 分 区 删除 ( 即 下 盘 和 
FDK) ,并 重新 建立 分 区 (分 区 大 小 为 原来 下 盘 和 下 盘 之 和 ) ,可 以 得 出 如 下 结论 : 

(1) 原来 盘 分 区 表 已 被 删除 。 

(2) 原来 下 盘 分 区 表 和 下 盘 分 区 链接 项 已 被 删除 。 

(3) 原来 下 盘 DBR 已 被 “00? 填 充 , 因 为 用 户 建立 了 新 的 下 盘 分 区 ,原来 下 盘 DBR 备份 
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仍然 完好 。 

(4) 原来 FE 盘 DBR 和 DBR 备份 仍然 完好 。 

【方法 一 】 RE DA EAM FAENA 0 号 扇 区 的 分 区 表 ; 恢复 原来 下 盘 DBR。 

【恢复 思路 】 

(1) ÆR D Æ DBR, iÑ D Æ DBR 得 到 D 盘 总 扇 区 数 , 通 过 D 盘 DBR 所 在 扇 区 号 和 D 
盘 总 扇 区 数 ,计算 D 盘 在 0 号 扇 区 的 分 区 表 。 

(2) 查找 下 盘 DBR 备份 ,通过 下 盘 DBR 备份 计算 出 下 盘 DBR 所 在 扇 区 号 和 下 盘 分 区 
表 ; 恢复 下 盘 在 0 号 扇 区 分 区 表 , 通 过 下 盘 DBR 备份 恢复 下 盘 DBR. 

G) #r F # DBR ,通过 F 盘 DBR 得 到 F 盘 总 扇 区 数 ,通过 F 盘 DBR 所 在 扇 区 号 和 下 
盘 总 扇 区 数 , 计 算出 下 盘 在 0 号 扇 区 的 分 区 表 。 

【操作 系统 】 Windows 7 

【使 用 软件 】 WinHex 软件 15.1 

【操作 步骤 】 

步骤 1 使 用 计算 机 管理 中 的 磁盘 管理 功能 附加 素材 中 的 abcd720. vhd 文件 ,附加 后 为 
磁盘 1; 所 产生 的 盘 符 分 别 为 昌 :、I: 和 J: , 即 分 别 对 应 磁盘 0 时 的 C:、.D: 和 下 :。 如 图 7.165 
所 示 , 从 图 7.165 可 知 ,H 盘 .I 盘 和 丁 盘 的 容量 分 别 为 100MB.200MB 和 719MB; 文件 系统 
分 别 为 NTFS NTFS 和 RAW。 


age 

基本 H) 四 o, 

1023 MB | 100 MB NTFS 200 MB NTFS 719 MB RAW 

Bt BSMF ( 主 分 区 ) ftom anam | teo; aam 


图 7.165 附加 abcd720. vhd 后 产生 的 逻辑 盘 


步骤 2 使 用 计算 机 管理 中 的 磁盘 管理 功能 分 离 abcd720. vhd 文件 ; 使 用 WinHex 打开 
abcd720. vhd 文件 并 映像 为 磁盘 ,从 整个 硬盘 的 0 号 扇 区 可 以 看 到 2 个 MBR 分 区 表 , 一 个 为 
主 分 区 表 ( 即 C 盘 分 区 ) , 另 一 个 为 扩展 分 区 表 , 如 图 7.166 所 示 , 从 图 7. 166 可 知 , 磁 盘 1 有 3 
个 分 区 , 即 Partition1( 即 H 盘 分 区 ) 文 件 系 统 为 NTFS, Partition? HI I 盘 分 区 ) 文 件 系统 为 
NTFS,Partition3( 即 丁 盘 分 区 ) 文 件 系 统 为 "?”。 


5fMes, 3 partitions 
Jea [sze — Created Tam. g 
NTFS 100MB 128 
NTFS 200 MB 205056 
?3 07GB8 614784 
540KB 204928 
640KB 614656 
640KB 0 
T] Unparttionabie space 257KB 2096640 


pump | Offset 01234567 89ABCDEF 7 3 
000001B0 65 6D 00 00 00 63 7B 9A 6D El 8A 4F 00 00[00 02|em...ct1.510.... 国 
Deta | 000001C0 E 00 07 CO 34 DC 80 00 00 00 00 20 03 00/00 CO) ...à4.1 À 


Ytal | 00000100 [35 OC OF FE 3F 81 80 20 03 00 DO ce IC 00j00 00 5 
ungo | 000001E0 |00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 . aaa 
Uma | 000001F0 |00 00 00 00 00 00 00 00 00 00 00 00 00 00 SS AA .............| gus. 
Sector 0 of 2097153 Ofset 1FD| =O Block 25840028 - 2584002F | Size: 8j 


图 7.166 查看 H 盘 分 区 表 和 扩展 分 区 表 


从 0 号 扇 区 可 以 得 到 2 个 分 区 表 , 即 H 盘 分 区 表 和 扩展 分 表 , 分 别 为 "00 02 03 00 07 C0 
34 OC 80 00 00 00 00 20 03 00”#l“00 CO 35 0C OF FE 3F 81 80 20 03 00 00 C8 1C 00”。 由 此 
可 知 ,该 盘 的 MBR 分 区 形式 为 “逻辑 盘 分 区 与 扩展 分 区 ”( 注 : 参见 第 4.2.3 节 )。 


& 大 话 数据 恢复 


步骤 3 单 击 Partition2, 如 图 7. 167 所 示 , 从 图 7. 167 可 知 ,I 盘 的 DBR 在 整个 硬盘 中 的 
205056 号 扇 区 ,而 总 扇 区 数 为 409599( 存 储 形式 为 FF 3F 06 00 00 00 00 00) 。 


Partitioning sie MBR Sfiss 3 parions 
= Jea [sze  [createa Jam [astsegor | - 
a Partition 1 cui 100 2 

向 a 


Lua | Ot£eet 0 1 2 3 4 5 6 7? 


8 9 AB OCDE F_ 加 
06420000 


EB 52 90 4E 54 46 53 20 20 20 20 00 02 08 00 00 enres 
00 00 00 00 OO F8 00 00 3F 00 FF 00 80 00 0000 .. 
00 00 o0 OO 60 OO 80 00 [FF 3F o6 00 00 00 00 OO] 
AA 42 00 00 00 00 00 00 02 00 00 00 00 00 00 00 2B. 
F6 00 00 00 01 00 00 00 57 4A BB 60 74 BB 60 E6 ë. 


06420010 
06420020 
06420030 

06420040 


Æ 7.167 I 盘 的 DBR 


由 于 1 盘 的 分 区 表 存 放 在 0 号 扇 区 ,所 以 ,I 盘 DBR 所 在 扇 区 号 也 就 是 对 应 分 区 表 中 的 相 
区 , 即 分 区 表 中 相对 扇 区 为 205056( 注 : 在 分 区 表 中 的 存储 形式 为 “00 21 03 00”). 
I 盘 文件 系统 是 NTFS, 对 应 分 区 标志 为 “07”; 由 于 I 盘 DBR 总 扇 区 数 为 409599 ,所 以 ， 
对 应 分 区 表 中 总 扇 区 数 为 409600( 注 : 在 分 区 表 中 的 存储 形式 为 "00 40 06 00”). 

因此 ,I 盘 在 0 号 扇 区 的 分 区 表 为 “00 01 01 00 07 FE FF FF 00 21 03 00 00 40 06 00”, 


步骤 4 单 击 Partition3 ,从 614784 号 扇 区 向 下 搜索 J 盘 DBR 备份 所 在 扇 区 ,在 1229183 
号 扇 区 找到 ,如 图 7. 168 所 示 。 


对 扇 


双 Partition 1 NIFS 100MB 128 I 
也 Parion 2 NTFS 200MB 205056 

T Partition 3 * 07GB 614784 

pma | offset |0 1 2 34567 89AB C D E FZ 


258zFE00 EB 52 90 4E 54 46 53 20 20 20 20 00 02 04 00 00 eR.NIFS 
2582FE10 00 00 00 00 00 F8 00 00 3F 00 FF 00 60 00 00 OD .... 
2582FE20 00 00 00 00 80 00 80 00 w. 
2582FE30 00 C8 00 00 00 00 00 00 04 00 00 00 00 00 OO OO | .È 
2582FE40 F6 00 00 00 02 00 00 00 BE 2B D3 84 6C D3 84 F8 6. 


.0.7 


图 7.168 J # DBR 备份 所 在 扇 区 


从 图 7.168 T.J Æ DBR 备份 所 在 扇 区 号 为 1229183 ,本 盘 总 扇 区 数 为 614399 。 
J 盘 DBR MERKS = J 盘 DBR 备份 所 在 扇 区 号 一 丁 盘 总 扇 区 数 
= 1229183 — 614399 = 614784 

由 于 丁 盘 的 分 区 表 存 放 在 0 5 K, Br A.J 盘 DBR 所 在 扇 区 号 也 就 是 对 应 分 区 表 中 的 相 
对 扇 区 , 即 分 区 表 中 的 相对 扇 区 为 614784( 注 : 在 分 区 表 中 的 存储 形式 为 “80 61 09 00”) 。 

丁 盘 的 文件 系统 是 NTFS, 对 应 分 区 标志 为 “07”; H T J #: DBR 总 扇 区 数 为 614399 ,所 
以 ,对 应 分 区 表 中 总 扇 区 数 为 614400( 注 : 在 分 区 表 中 的 存储 形式 为 “00 60 09 00”), 

因此 ,J 盘 在 0 号 扇 区 的 分 区 表 为 "00 01 01 00 07 FE FF FF 80 61 09 00 00 60 09 00”。 

步骤 5 从 1229184 号 扇 区 向 下 搜索 K 盘 ( 即 磁盘 0 时 的 F 盘 )DBR 所 在 扇 区 ,在 
1229312 号 扇 区 找到 ,如 图 7.169 所 示 。 


从 图 7. 169 可 知 ,K Æ DBR 在 整个 硬盘 中 的 1229312 Z J X ,而 总 扇 区 数 为 858111( 存 

储 形式 为 “FF 17 0D 00 00 00 00 00”), 

HF K 盘 的 分 区 表 存 放 在 0 号 扇 区 .所 以 人 盘 DBR 所 在 扇 区 号 也 就 是 对 应 分 区 表 中 的 

相对 扇 区 , 即 分 区 表 中 的 相对 扇 区 为 1229312( 注 : 在 分 区 表 中 的 存储 形式 为 “00 C2 12 00”), 
K 盘 的 文件 系统 是 NTFS, 对 应 分 区 标志 为 “07”; 由 于 开盘 DBR 总 扇 区 数 为 858111 ,所 
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Jat. stsector 
Z Parion 1 NIFS 100MB 128 
也 Pariion2 NTFS 200MB 205056 
Q Partition 3 ? 0768 614784 
w| Offset |o 1 2 3 4 5 6 7 8 9 A B C D E FZ 


25840000 |EB 52 90 4E 54 46 53 20 20 20 20 00 02 08 00 OD ël 
25840010 |00 00 00 OD OD F8 00 00 3F 00 FF 00 80 00 00 OD . 
25840020 |00 00 00 OO 80 00 80 00 [FF 17 OD 00 00 00 OO OO]. 
25840030 |AA 8B 00 00 00 00 OO 00 02 00 00 00 OO DO 00 OO s| 
25840040 |F6 00 00 00 01 00 00 00 C3 8D D8 76 B8 D8 76 22 6....... k. 


| Ofset 2584001F[ =0 Block 18E- IDD | Size: 


7.169 开盘 DBR 所 在 扇 区 


以 ,对 应 分 区 表 中 的 总 扇 区 数 为 858112( 注 : 在 分 区 表 中 的 存储 形式 为 “00 18 0D 00”) 。 
因此 ,K 盘 在 0 号 扇 区 的 分 区 表 为 “00 01 01 00 07 FE FF FF 00 C2 12 00 00 18 0D 00”, 
步骤 6 综合 步骤 3 一 步骤 5 可 以 得 到 存储 在 整个 硬盘 0 号 扇 区 偏 移 0X01BE—0X01FD 
处 4 个 MBR 分 区 表 ( 存 储 形 式 ) , 见 表 7. 35 所 列 。 
表 7.35 整个 硬盘 0 号 扇 区 4 个 MBR 分 区 表 的 存储 形式 
分 区 表 ( 盘 符 ) 扇 区 偏 移 分 区 表 
第 1 个 (H 盘 ) 01BE—01CD 


00 02 03 00 07 CO 34 OC 80 00 00 00 00 20 03 00 


第 2 个 (I 盘 ) 01CE—01DD 00 01 01 00 07 FE FF FF 00 21 03 00 00 40 06 00 
第 3 个 (J 盘 ) 01DE—01ED 00 01 01 00 07 FE FF FF 80 61 09 00 00 60 09 00 
第 4 个 (K 盘 ) 01EE—01FD 00 01 01 00 07 EE FF FF 00 C2 12 00 00 18 0D 00 


步骤 7 将 硬盘 0 号 扇 区 以 文件 的 形式 存储 ,存储 位 置 和 文件 名 自 定 ; 将 第 2—4 个 分 区 
表 填 人 到 0 号 扇 区 偏 移 0XOICE 一 0XO1FD 处 ,如 图 7. 170 所 示 ,然后 存盘 。 


Parttoning style: MBR 


mes 4 pari 


L] Parton gap 640KB 204928 

pug | Offset Pl 2 S E EE 
000001B0 |65 6D 00 00 00 63 7B 9A 6D E1 8A 4F 00 00 

Deta | 000001C0 [03 00 07 co 34 oc 60 00 00 00 00 20 0300 eda. 


Satai | 000001D0 [01 00 07 FE FF FF 00 21 03 00 00 40 06 00 


By 
ungo | 000001E0 [01 00 07 FE FE FF 60 61 09 00 00 60 03 00 Im 01... 
Uma | 000001F0 [01 00 07 FE FF FF 00 C2 12 00 00 18 OD 0OO|SS AA ... 


E 7.170 硬盘 0 号 扇 区 的 4 个 分 区 表 


注 : 0 号 扇 区 的 第 1 个 分 区 表 保留 ,第 2 个 分 区 表 即 扩展 分 区 表 被 新 的 分 区 表 所 替换 。 

步骤 8 由 于 第 3 个 分 区 的 DBR 已 被 破坏 .可 以 通过 第 3 个 分 区 的 DBR 备份 恢复 第 3 个 
分 区 的 DBR ,即将 1229183 号 扇 区 复制 到 614784 号 扇 区 ,存盘 并 退出 WinHex. 

步骤 9 使 用 计算 机 管理 中 的 磁盘 管理 功能 附加 素材 中 的 abcd720. vhd 文件 ,附加 后 为 


磁盘 1; 在 资源 管理 器 中 可 以 查找 到 I 盘 .J 盘 (原来 下 盘 ) 和 开盘 (原来 F 盘 ) 中 的 全 部 数据 。 
【所 用 时 间 】 20 分 钟 


【客户 评价 】 非常 满意 

【方法 二 】 删除 新 的 J 盘 分 区 表 , 计 算 原来 ] SOI K 盘 容 量 ,重建 ] 盘 分 区 表 、J 盘 链 接 项 
和 开盘 分 区 表 ( 注 : PAREX JAR K 盘 进 行 (快速 ) 格 式 化 操作 )。 将 J 盘 和 盘 分 区 表 
中 的 标志 由 “06” 修 改 为 “07”; 通过 丁 盘 NTFS_DBR 备份 恢复 J # NTFS_DBR; 通过 开盘 
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NTFS_DBR 备份 恢复 K Æ NTFS_DBR。 由 于 篇 幅 限 制 , 其 恢复 步骤 请 读者 参照 本 章 7. 1. 3 
节 例 7.1。 

【案例 8] 

【客户 描述 】 U 盘 只 有 一 个 MBR 分 区 ,对 应 的 文件 系统 为 FAT32 ,在 Windows 7 下 ,将 
U 盘 插 入 计算 机 USB 口 后 产生 H #; 将 H 盘 ABC1 文件 夹 中 FAT32_DBR. doc 文件 剪 切 ， 
到 桌面 进行 粘贴 操作 ,突然 死机 ; 重新 启动 计算 机 后 ,发 现 桌 上 没有 FAT32_DBR. doc 文件 ， 
H # ABC1 文件 夹 中 也 没有 该 文件 。 用 户 使 用 Easyrecovery 软件 进行 恢复 ,没有 成 功 ( 注 : K 
材 文 件 名 为 abcd721. vhd) 。 

【分 析 】 根据 客户 描述 ,用 户 使 用 Easyrecovery 软件 没有 成 功 恢复 FAT32_DBR. doc X 
件 , 可 能 的 原因 以 下 : 

(1) 用 户 剪 切 FAT32_DBR. doc 文件 前 ,该 文件 内 容 在 H 盘 上 没有 连续 存储 。 

(2) 用 户 剪 切 FAT32_DBR. doc 文件 前 ,该 文件 内 容 在 H 盘 上 连续 存储 ; 用 户 剪 切 
FAT32_DBR. doc 文件 后 ,该 文件 在 H 盘 ABC1 文件 夹 中 目录 项 开始 簇 号 的 高 16 位 已 经 被 
填充 为 “0000”。 

【操作 系统 】 Windows 7 

【使 用 软件 】 WinHex 软件 15. 1 

【操作 步骤 】 

步骤 1 使 用 WinHex 软件 打开 abcd721. vhd 文件 ,并 映像 为 磁盘 。 

步骤 2 单 击 * 访 问 ” 功 能 菜单 按钮 “又 ,然后 选择 "Partition1 (497MB,FAT32)—Open” 
打开 “Partition1”。 

HRI 单 击 目 录 浏 览 中 的 ABC1 文件 夹 ,如 图 7.171 所 示 。 从 图 7.171 可 知 ,在 ABC1 
文件 夹 中 存储 了 5 个 目录 项 ,5 个 目录 项 说 明 见 表 7. 36 所 列 。 


[cnamha] cm wa Partition 1] | 
上 S files, 32 dir. 


[ea [sue 


Bc: 
pam | treet 
Fa | 051AF600 [2E 20 20 20 20 20 20 20 20 20 20 10 00 70 A2 91]. m 

| OS1AF610 [66 4B 66 4B 02 00 A3 91 66 4B 7D 4D 00 00 00 00jfKfK..£“fK}M.. E g 
Deta: | 051AF620 [2E 2E 20 20 20 20 20 20 20 20 20 10 00 70 A2 91|.. . 

Smal | 051AF630 |66 4B 66 4B 00 00 A3 91 66 4B 00 00 00 00 00 OO | erek. .efk 
Undo 
Uma. 
Anoc 
‘Dues 


01234567 89ABCD 


051AF640 
051AF650 
051AF660 
051AF670 
051AF680 a 

\| Os1AaF690 (66 4B 66 4B[02 oo] 2[7E 4D[00 C2 01 oo] ekek. .KukB~M. b 
Secor 167291 ot 1017858 | Oset SAF61F =0] Bloc maj Sie: ma) 


B 7.171 ABC1 文件 夹 存储 的 目录 项 
表 7.36 ABC1 文件 夹 下 存储 的 目录 项 ( 注 : 表 中 的 数据 为 十 六 进 制 ) 


目录 项 名 K 开始 簇 号 高 16 位 开始 簇 号 低 16 位 所 占 字 节 数 备注 
Mit 0002 4D7D 

第 2 个 .. 0000 0000 

第 3 个 FAT32_DBR. DOC 

第 4 个 ? AT32_—1. doc 0000 4AA7 05AC00 


第 5 个 a4. txt 0002 4D7E 01C200 
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说 明 : 第 3 个 目录 项 为 第 4 个 目录 项 的 长 文件 名 目录 项 。 由 于 这 两 个 目录 项 的 第 1 字 节 


的 ASCII 码 值 为 0XE5 ,表示 这 两 个 目录 项 已 被 删除 。 


步骤 4 从 第 4 个 目录 项 可 知 ,FAT32_DBR. doc 文件 内 容 的 开 簇 号 为 0X00004AA7, 大 
小 为 0X0005AC00 字 节 ; 从 第 5 个 目录 项 可 知 ,a4. txt 文件 内 容 的 开始 簇 号 为 0X00024D7E， 
大 小 为 0X0001C200 字 节 ; 由 此 可 以 推断 ,FAT32_DBR. DOC 文件 剪 切 前 高 16 位 的 开始 簇 号 
可 能 是 0X0002。 也 就 是 说 , FAT32_ DBR. doc 文件 前 切 前 ,该 文件 的 开始 簇 号 可 能 


是 0X00024AA7。 


步骤 5 将 第 4 个 目录 项 文件 内 容 开 始 簇 号 的 高 16 位 修改 为 0002( 注 : 存储 形式 为 02 


00) ,如 图 7. 172 所 示 ,然后 存盘 并 退出 WinHex。 


TaJ] oacmzl wa Partition 11 | 


5 Mes, 32 dir 


Offset |0 1 2 3 
Bm | 051AF600 

051AF610 
Deta | 051AF620 
tal | 051AF630 
Uma | 051AF650 |44 00 42 00 52 00 2E 00 64 00 00 DO 6F 00 63 00|p.B.R， ç 
= 222 . 

051AF670 [66 4B 66 4B[02 00172 4D 3D 45 fK£K..rM=RSJ.-.. 

a| 051AF690 (66 4B 66 4B[02 00148 75 Be 42 fReK..KuB M... 

Sector 167291 of 1017856 | Offset SHAF6TF| =0 Block 


图 7.172 ERR 4 AERIS 16 位 


Mal 


步骤 6 删除 WinHex 软件 “临时 文件 夹 ”" 中 存储 的 所 有 文件 ,并 清空 回收 站 ; 并 重复 步 


又 1 一 步骤 3。 


步骤 7 双击 ABC1 文件 夹 ,在 ABC1 文件 夹 下 找到 已 删除 的 FAT32_DBR. doc 文件 ; 将 
光标 移动 到 FAT32_DBR. doc 文件 目录 处 , 右 击 ,从 弹出 的 快捷 菜单 中 选择 “Recover/ 


Copy...”; 如 图 7.173 所 示 。 


[ABCUT2L whal)] [Ascnrzl,vha Partition 1] | 


WBCT 1+1=2 files, 0 dir. 
JEn [Sze [oreated Jan _ [astseaor J 
me 182428 A 167292 
» 017/1106 48( A 166565 


[ABCD72185% free 


67 8 9 A B C DE FI — 国 


步骤 8 


File system: FAT32 


E 0515 


Undo levet: 


Undo reverses: na | 0515 


Alloc ofvsible drive 
Sector 166565 of 1017856 Open AIF 


出 现 “Select Target Folder” H ,在 “Select Target Folder” 窗 口中 ,选择 存储 文 


DetautEdtMode | 0515 

es LZ a 
Hide 
位 二 由 


os ee > 


0515 Ppor fst 


O A1 B1 1A El 00 00 00 00 00 00 00 00 

0 00 00 00 00 3E 00 03 00 FE FF 09 00 .. 

0 00 00 00 00 00 OO OO 00 06 OO OO OO .. 

0 00 00 00 00 00 10 00 00 D3 02 00 00 Ñ. 

o| 051s "O FE FF FF FF 00 00 00 00 CB 02 00 OO .... 
"O CD 02 00 00 CE 02 00 00 CF 02 00 00 

0 


0515 pm. FF FF FF FF FF FF FF FF FF FF FF FF 


=0 Block 


7.173 在 ABC1 文件 夹 下 找到 FAT32_DBR. doc 文件 


件 的 位 置 ,假设 将 要 恢复 的 文件 存储 到 D 盘 的 根 目 录 下 ; Ai OK” iH. 
步骤 9 到 了 D 盘 根 目 录 下 可 以 找到 已 恢复 的 文件 ,文件 名 为 “FAT32_DBR. doc”, 
【所 用 时 间 】 2 分 钟 
【客户 评价 】 非常 满意 


【经 验 总 结 】 对 于 被 删除 文件 开始 簇 号 高 16 位 被 填充 为 “0000” 后 ,可 以 通过 查看 被 删除 
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目录 项 的 前 、 后 目录 项 开始 簇 号 高 16 位 的 值 ,来 推断 该 目录 项 开始 簇 号 高 16 位 的 值 ; 如 果 该 
逻辑 盘 的 容量 比较 小 ,也 可 以 使 用 尝试 法 来 推断 被 删除 目录 项 的 高 16 位 , 即 高 16 位 值 取 
“0001”“0002”“0003” 。 


7.1 用 户 在 使 用 计算 机 时 ,出 现 哪些 现象 ? 可 以 初步 判断 可 能 是 硬盘 主 引 导 扇 区 已 经 被 
破坏 。 

7.2 某 用 户 的 计算 机 只 有 一 个 硬盘 ,硬盘 MBR 分 区 形式 为 : 在 整个 硬盘 0 号 扇 区 存储 
着 C 盘 分 区 表 和 扩展 分 区 表 ; 而 D 盘 分 区 表 和 下 盘 连 接 项 \E 盘 分 区 表 和 下 盘 连 接 项 \F 盘 分 
区 表 分 别 存 储 在 扩展 分 区 中 3 个 不 同 的 扇 区 中 。 用 户 在 使 用 计算 机 管理 时 ,由 于 操作 不 慎 , 将 
硬盘 中 的 所 有 分 区 表 删 除 后 ,发 现 原来 各 逻辑 盘 中 的 数据 没有 进行 备份 ,要 恢复 原来 各 逻辑 盘 
中 的 数据 ( 注 : 素材 文件 名 为 zy7_2~3. vhd; C 盘 和 D 盘 分 区 对 应 的 文件 系统 是 FAT32,E 盘 
和 下 盘 分 区 对 应 的 文件 系统 是 NTFS) 。 用 户 做 了 如 下 操作 : 

(1) 将 该 硬盘 作为 另外 一 台 计 算 机 的 辅 盘 ( 即 磁 盘 1) ,在 Windows XP 操作 系统 下 ,启动 
WinHex。 

(2) 使 用 WinHex 菜单 栏 上 的 “工具 ”一 “打开 磁盘 ” ,出现 “EditDisk” 窗 口 ,在 “Edit Disk” 
窗口 中 选择 “Physical Media” F ÉJ Drivel ,打开 磁盘 1。 

(3) 通过 查找 FAT32_DBR 的 特征 值 ( 注 : 特征 值 为 “”MSDOS”, 扇 区 偏 移 为 3 一 7) ,分 别 
在 128 号 ,134 号 ,246016 号 和 246022 号 扇 区 找到 FAT32_DBR。 经 审核 ,发现 128 号 扇 区 存 
储 的 内 容 与 134 号 扇 区 存储 的 内 容 相同 ,246016 号 扇 区 存储 的 内 容 与 246022 号 扇 区 存储 的 
内 容 相 同 。128 号 扇 区 前 96 字 节 内 容 如 图 7. 174 所 示 ,246016 号 扇 区 前 96 字 节 内 容 如 图 7. 175 
所 示 。 


Offset 0141 234 
00010000 EB 58 90 4D 53 4 
00010010 02 00 00 00 00 F x 
00010020 [oo co o3 o0] A1 03 oo oo oo oo oo oo 02 00 00 00 .A 
00010030 ol 00 06 00 OO 00 00 00 0000 OO OO OO OO 0000 . 
00010040 80 00 29 58 75 FE EE 4E 4F 20 4E 41 4D 45 20 20 1.)XubiNO NAME 
00010050 20 20 46 41 54 33 32 20 20 20 33 C9 8E D1 BC F4 FAT32 3ÉIÑMó 
Sector 128 of 1024001 Offset 1001F 


7.174 硬盘 128 号 扇 区 前 96 字 节 内 容 


Offset 0 1 
07820000 EB 58 
07820010 | 02_00 


S6 7 69aBCDEF 7] 
44 4F 53 35 2E 30 00 02 02 3E 1B eX.MSD0SS.0...). 
F8 00 00 3F 00 FF 00[80 o0 00 00] .....a..?7.9.01.. E 
02 00 00 00 00 00 00 02 00 00 OO .1..a.. Sas 
07820030 01 00 06 OÍ 0 00 00 00 00 00 00 00 00 00 00 00 ................ 
07820040 80 00 29 FC 53 09 BC 4E 4F 20 4E 41 4D 45 20 20 I.)üS.MNO NAME 
07820050 20 20 46 41 54 33 32 20 20 20 33 C9 8E D1 BC F4 FAT32 3ÉIÑMó 
Sector 246016 of 1024001 | Offset 1001F 


7.175 硬盘 246016 号 扇 区 前 96 字 节 内 容 


(4) 通过 查找 NTFS_DBR 的 特征 值 ( 注 : 特征 值 为 "NTFS?”, 扇 区 偏 移 为 3 一 6) ,分 别 在 
409984 号 ,737663 号 .737792 号 和 1014271 号 扇 区 找到 NTFS_DBR。 经 审核 ,发 现 409984 
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号 扇 区 存储 的 内 容 与 737663 号 扇 区 存储 的 内 容 相同 ,737792 号 扇 区 存储 的 内 容 与 1014271 
号 扇 区 存储 的 内 容 相同 。409984 号 扇 区 前 96 字 节 内 容 如 图 7. 176 所 示 ,737792 号 扇 区 前 96 
字 节 内 容 如 图 7.177 所 示 。 


Offset | 0 1 2 3 

0C830000 EB 52 90 4E 54 46 5 20 00 02 04 0 
0C830010 00 00 00 00 00 F8 00 00 3F 00 FF O 
0c830020 |00 00 00 00 80 00 80 00 
0830030 AA 6A 00 00 00 00 00 00 04 00 00 00 00 DO 00 00 
0830040 F6 00 00 00 02 00 00 00 71 7C 12 DO AE 12 D0 2E ó. 


«q| .88.8. 
DC830050 00 00 00 00 FA 33 CD BE DO BC 00 7C FB 68 CO 07 ... -ÚIÀIDM. |ûhÀ. 
Sector 409984 of 1024001 Ofset C83001F 


图 7.176 硬盘 409984 号 扇 区 前 96 字 节 内 容 


Offset 0 1 2 3 4 5 6 7 8 9 À B C D E re 
16840000 EB 52 90 4E 54 46 53 20 20 20 20 00 02 02 00 00 eR.NIFS ..... 
16840010 OO 00 00 OO 00 F8 00 00 3E 00 FF oo[so 00 00 OO] .. AE Š 
16840020 00 00 00 00 80 00 80 00 
16840030 00 B4 00 00 00 00 00 00 08 00 00 00 00 00 00 00 
16840040 01 00 00 00 04 00 00 00 D8 FB 1C 46 3F 1D 46 FC 
16840050 | 00 00 00 00 FA 33 CO 8E DO BC 00 7C FB 68 CO 07|.. 
Sector 737792 of 1024001 Offset 


图 7.177 硬盘 737792 号 扇 区 前 96 字 节 内 容 


请 回答 下 列 问题 : 

(1) 请 根据 用 户 对 FAT32_DBR 和 NTFS_DBR 的 查询 结果 ,将 4 个 分 区 所 对 应 的 文件 系 
统 .FAT32_DBR( 或 者 是 NTFS_DBR) .FAT32_DBR 备份 (或 者 是 NTFS_DBR 备份 ) 所 在 扇 
区 号 和 总 扇 区 数 填 人 表 7. 37 对 应 单元 格 中 。 


表 7.37 硬盘 中 DBR 所 在 扇 区 情况 表 


分 区 文件 | DBR 所 | DBR 备份 总 扇 区 数 
系统 | ERKI | 所 在 肩 区 号 在 DBR 中 的 存储 形式 十 六 进 制 十 进 制 
第 1 个 
第 2 个 
第 3 个 
第 4 个 
(2) 根据 图 7.174 一 图 7.177 中 DBR 所 在 硬盘 扇 区 号 和 DBR 中 存储 的 总 扇 区 数 ,计算 4 


个 文件 系统 在 整个 硬盘 0 号 扇 区 偏 移 0X01BE—0X01FD 对 应 4 个 MBR 分 区 表 中 的 相对 扇 
区 和 总 扇 区 数 , 并 将 结果 填 人 到 表 7. 38 对 应 单元 格 中 ,将 4 个 分 区 标志 填 人 到 表 7. 38 对 应 单 
元 格 中 ( 注 : DBR 所 在 硬盘 扇 区 号 为 对 应 分 区 表 的 相对 扇 区 ) 。 


表 7.38 整个 硬盘 逻辑 0 号 扇 区 4 个 MBR 分 区 表 的 存储 形式 


自 举 | 开始 地 址 | 分 区 | 结束 地 址 
RER) BENG | 未 者 | ces | 标志 :| cen | TVAE | EMER 
第 1 个 | 01lBE~01CD | 80 |01|01|00 FE| FF | FF 
第 2 个 | 01CE~01DD | oo |01|01|00 FE| FF | FF 
第 3 个 | 01DE~01ED 00 |01|01|00 FE| FF | FF 
第 4 个 | 01EE~01FD 00 |01|01|00 FE| FF | FF 
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(3) 请 将 表 7.38 中 的 4 个 MBR 分 区 表 填 人 到 图 7. 178 对 应 下 画 线 处 。 


Offset |0 1 2 3 4 5 6 7 8 9 AB C D E FE 

00000190 |6E 67 20 73 79 73 74 65 6D 00 4D 69 73 73 69 6E | ng system.Missin 
000001A0 |67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74 g operating syst 
00000180 |65 6D 00 00 00 63 7B 9A 31 EA 09 80 00 00 _ _ em...c{11è.1.... 
000001c0 1 À...M 
000001D0 


000001E0 
u 1 1 | sisan usni a n A 
Sector 0 of 1024001 


7.178 硬盘 0 号 扇 区 后 112 字 节 的 内 容 


(4) 硬盘 的 整体 布局 如 图 7. 179 所 示 ,请 根据 整个 硬盘 0 号 扇 区 的 4 个 MBR 分 区 表 , 将 
各 逻辑 盘 在 整个 硬盘 中 的 开始 扇 区 号 和 结束 扇 区 号 以 及 各 逻辑 盘 单 独 打 开 后 的 结束 扇 区 号 填 
入 到 图 7.179 相应 位 置 处 ( 注 : 假设 该 硬盘 附加 后 为 磁盘 1。 其 中 : 4 个 MBR 分 区 表 对 应 的 
逻辑 盘 分 别 为 HIJ 和 开盘 , 即 分 别 对 应 磁盘 0 时 的 C.D、E M F A). 


BRA 。 | 整个 硬盘 逻辑 肩 区 号 | 各 逻辑 盘 扇 区 号 
BE" i= 
盘 ”相对 0 J 盘 分 区 表 
à i HK K#3K& [I 
l H 8 | 1~127 | 
N H 区 Ht 一 0~ 
| - 
k a 一 一 ~ | 
' w 
Jt — a Kam 
' s 
KÄ —— ° a 
未 分 区 的 扇 区 ~ 


图 7.179 硬盘 中 各 逻辑 盘 分 布 图 


(5) 在 Windows XP 操作 系统 下 ,启动 WinHex, 打 开 zy2 一 3. vhd 文件 ; 请 将 表 7. 38 中 
的 4 个 MBR 分 区 表 填 和 人 到 整个 硬盘 0 号 扇 区 偏 移 0X01BE — 0X01FD 处 ,存盘 并 退出 
WinHex( 实 际 操作 题 ) 。 

7.3 在 题 7.2 中 ,恢复 整个 硬盘 中 的 C 盘 分 区 表 和 扩展 分 区 表 、D 盘 分 区 表 和 开盘 连接 
W E RIKKA F 盘 连 接 项 上 盘 分 区 表 。 请 回答 下 列 问题 : 

(1) 根据 图 7.174 一 图 7.177 的 DBR 中 所 存储 的 隐藏 扇 区 数 和 总 扇 区 数 ,计算 4 个 文件 
系统 所 对 应 4 个 MBR 分 区 表 中 的 相对 扇 区 和 总 扇 区 数 ,并 将 结果 和 4 个 分 区 标志 填 人 到 
表 7. 39 对 应 单元 格 中 (提示 : DBR 中 所 存储 的 隐藏 扇 区 数 为 各 逻辑 盘 对 应 分 区 表 中 的 相对 
扇 区 ) 。 
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表 7.39 整个 硬盘 各 逻辑 盘 分 区 表 的 存储 形式 


自 举 | 开始 地 址 | 分 区 | 结束 地 址 En 
分 区 表 | AKAB 标志 | (未 定义 ) | 标志 | (未 定义 ) 相对 扇 区 总 扇 区 数 
C# | 0BBE—01CD | 80 |01|01|00 FE | FF | FF 
D # 01BE—01CD 00 |01|01|00 FE| FF | FF 
E# 01BE~01CD 00 |01|01|00 FE | FF | FF 
F # 01BE—01CD 00 |01|01|00 FE | FF | FF 


(2) 请 根据 C 盘 的 相对 扇 区 和 总 扇 区 数 ,计算 扩展 分 区 的 相对 扇 区 ; 根据 扩展 分 区 的 相 
对 扇 区 和 F 盘 DBR 备份 所 在 扇 区 号 ( 即 1014271) ,计算 扩展 分 区 的 总 扇 区 数 ; 将 扩展 分 区 的 
相对 扇 区 ,总 扇 区 数 和 扩展 分 区 标志 填 和 人 到 表 7. 40 对 应 单元 格 中 ( 注 : 在 Windows 7 RER 
B F ,扩展 分 区 的 结束 扇 区 号 比 最 后 一 个 逻辑 盘 的 结束 扇 区 号 多 4096 AK). 


表 7.40 硬盘 0 号 扇 区 扩展 分 区 的 存储 形式 


自 举 | 开始 地 址 | 分 区 | 结束 地 址 
分 区 表 扇 区 偏 移 标志 | (未 定义 | 标志 | (未 定义 ) 相对 扇 区 总 扇 区 数 


扩展 分 区 | 01CE~01DD | 00 |01|01|00 FE| FF | FF 


(3) WRH E Æ DBR( 即 409984 号 扇 区 ) 中 隐藏 扇 区 数 和 总 扇 区 数 , 计 算出 下 盘 连 接 项 
的 总 扇 区 数 , 根 据 D 盘 相 对 扇 区 和 总 扇 区 数 ,计算 E 盘 链 接 项 的 相对 扇 区 ,最 后 计算 E 盘 的 链 
接 项 分 区 表 ,并 将 E 盘 链接 项 分 区 表 填 人 到 表 7. 41 对 应 单元 格 中 。 
表 7.41 E 盘 链接 项 分 区 表 的 存储 形式 


自 举 | 开始 地 址 | 分 区 | 结束 地 址 
分 区 表 扇 区 偏 移 标志 | (未 定义 ) | 标志 | (未 定义 ) 相对 扇 区 总 扇 区 数 


E 盘 链 接 项 | 01CE~01DD| 00 |01|01|00 FE | FF | FF 


(4) 请 根据 F 盘 DBR( 即 737792 号 扇 区 ) 中 隐藏 扇 区 数 和 总 扇 区 数 , 计 算 F 盘 链 接 项 的 
总 扇 区 数 ; 根据 D 盘 相 对 扇 区 和 总 扇 区 数 E 盘 相对 扇 区 和 总 扇 区 数 ,计算 出 下 盘 链接 项 的 相 
对 扇 区 ,最 后 计算 F 盘 链 接 项 的 分 区 表 , 将 F 盘 链 接 项 分 区 表 填 人 到 表 7. 42 对 应 单元 格 中 。 

表 7.42 下 盘 链接 项 分 区 表 的 存储 形式 


自 举 | 开始 地 址 | 分 区 | 结束 地 址 
分 区 表 扇 区 偏 移 标志 | (未 定义 ) | 标志 | (未 定义 ) 相对 扇 区 总 扇 区 数 


F 盘 链 接 项 | 01CE~01DD| 00 |01|01|00 FE| FF | FF 


(5) C 盘 分 区 表 和 扩展 分 区 表 存 储 在 整个 硬盘 的 0 号 扇 区 ,综合 表 7. 39 和 表 7. 40 ,请 将 
C 盘 分 区 表 和 扩展 分 区 表 填 人 到 表 7. 43 对 应 单元 格 中 。 


表 7.43 C 盘 分 区 表 和 扩展 分 区 表 的 存储 形式 


AK 自 举 | 开始 地 址 | 分 区 | 结束 地 址 
分 区 表 号 扇 区 偏 移 标志 | 《未 定义 ) | 标志 | (未 定义 ) 相对 扇 区 总 扇 区 数 
cH Š 01BE—01CD 
扩展 分 区 01CE—01DD 
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(6) D 盘 分 区 表 和 下 盘 链 接 项 存储 在 同一 扇 区 号 ,请 根据 C 盘 分 区 表 的 相对 扇 区 和 总 扇 
区 数 ,计算 D 盘 分 区 表 和 下 盘 链 接 项 所 在 扇 区 号 ,综合 表 7.39 和 表 7. 41 ,将 D 盘 分 区 表 和 下 
盘 链 接 项 分 区 表 填 人 到 表 7. 44 对 应 单元 格 中 。 


表 7.44 D 盘 分 区 表 和 下 盘 链接 项 的 存储 形式 


扇 区 AK 自 举 | 开始 地 址 | 分 区 | 结束 地 址 
分 区 表 | 号 | ap | 标志 | (未 定义 ) | 标志 | (未 定义 ) | 相对 扇 区 | SAKR 
D # 01BE—01CD 
E 盘 链接 项 01CE—01DD 


(7) E 盘 分 区 表 和 下 盘 链 接 项 存储 在 同一 扇 区 ,请 根据 C 盘 分 区 表 的 相对 扇 区 和 总 扇 区 
ŽU D 盘 分 区 表 的 相对 扇 区 和 总 遍 区 数 ,计算 E 盘 分 区 表 和 下 盘 链 接 项 所 在 扇 区 号 ; 结合 


表 7.39 MK 7.42, 将 下 盘 分 区 表 和 下 盘 链 接 项 填 人 到 表 7. 45 对 应 单元 格 中 。 


表 7.45 玉 盘 分 区 表 和 下 盘 链 接 项 的 存储 形式 


DE AE] 开始 地 址 [分 区 | #SMOLH: 
AER | g | MERE il Em ma cams, | STNE | AMER 
Eğ 01BE—01CD 
F 盘 链接 项 01CE—01DD 


(8) 请 根据 C 盘 分 区 表 的 相对 扇 区 和 总 扇 区 数 .D # r < K ñ) HX: < 8 Ë E 盘 
分 区 表 的 相对 扇 区 和 总 扇 区 数 ,计算 下 盘 分 区 表 所 在 扇 区 号 ; 综合 表 7. 39 ,将 下 盘 分 区 表 填 


入 到 表 7.46 中 。 


Bl 


分 区 表 U peng 


= 


37.46 F 盘 分 区 表 的 存储 形式 


自 举 | 开始 地 址 | 分 区 | 结束 地 址 


标志 


(未 定义 ) 


标志 


(未 定义 ) 


相对 扇 区 


总 扇 区 数 


F # 01BE—01CD 


(9) 整个 硬盘 布局 如 图 7.180 所 示 ,请 根据 整个 硬盘 0 号 扇 区 的 C 盘 分 区 表 和 扩展 分 区 
表 、D 盘 分 区 表 和 下 盘 链 接 项 、E 盘 分 区 表 和 下 盘 链接 项 以 及 F 盘 分 区 表 , 将 各 逻辑 盘 的 容 
量 、 在 整个 硬盘 中 的 扇 区 号 范围 .各 逻辑 盘 单独 打开 后 的 结束 扇 区 号 等 值 填 人 到 图 7. 180 中 相 


应 位 置 。 


7.4 某 用 户 的 计算 机 只 有 一 个 硬盘 ,用 户 将 硬盘 的 分 区 形式 转换 为 GPT ,并 建立 了 3 个 
分 区 ,3 个 分 区 对 应 的 文件 系统 均 为 NTFS; 由 于 用 户 操作 不 愤 , 将 3 个 GPT 分 区 删除 ,并 将 
硬盘 分 区 形式 转换 为 MBR , 现 要 恢复 3 个 NTFS 文件 系统 中 的 所 有 数据 ( 注 : 素材 文件 名 为 
zy7_4. vhd) 。 用 户 做 了 下 列 操作 (实际 操作 题 ) : 

O 将 该 硬盘 作为 另外 一 台 计 算 机 的 辅 盘 ( 即 磁盘 1) ,在 Windows XP 操作 系统 下 ,启动 


WinHex。 


(2) 使 用 WinHex 菜单 栏 上 的 “工具 ”打开 磁盘 ,出 现 *EditDisk” 窗 口 ,在 “Edit Disk” 
窗口 中 选择 “Physical Media” 下 的 Drivel ,打开 磁盘 1。 
G) 通过 NTFS_DBR 的 特征 值 ( 注 : 特征 值 为 "NTFS”, 位 于 扇 区 偏 移 3 一 6) ,分别 在 
65664 号 .434303 号 、434304 号 、843903 号 、843904 号 和 1224831 号 扇 区 找到 NTFS_DBR。 
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整个 硬盘 扇 区 划分 情况 整个 硬盘 逻辑 扇 区 号 各 逻辑 盘 扇 区 号 
T, l = 
bq 1 pq m4 C 盘 分 区 表 
本 | 要 Ë= 4 扩展 分 区 表 
= OR 
e i 1 1~127 
Kg C 盘 所 d | 一 一 ) 
E> |Ë 占 扇 区 ~ š 
= r= ( MB); 
3 | ! x! al DENKA 
= E ŠE E 盘 链接 项 
= ÒE 
= Ë 1| 一 一 一 一 
— E pa 
= 2| |ant - 
E 要 | $| GHD ~ x 
5 Set 
所 | 8 mi t ERDER P= 
x ë| R| Sš FAEH 
E £ fk - 
P| H 
这 | E 盘 所 一 一 
= # | aae | | 一 一 一 一 ~ x 
A au mn 
E ai ga? F 盘 分 区 表 
E E =E 
k Buo == " 
R EEE 1 
E & | FEM À lal 
k 看 “| aak | | 一 一 一 一 一 ~ o~ 
1 YC—MB)Y 
未 分 区 的 局 区 2087424~2097152 


图 7.180 硬盘 中 各 逻辑 盘 分 布 图 


经 审核 ,发现 434303 号 扇 区 所 存储 的 内 容 与 65664 号 扇 区 存储 的 内 容 相同 ; 843903 号 扇 区 所 
存储 的 内 容 与 434304 号 扇 区 存储 的 内 容 相同 ; 1224831 号 扇 区 所 存储 的 内 容 与 843904 Z Bi 
区 存储 的 内 容 相同 。 请 将 3 个 逻辑 盘 的 基本 情况 填 人 到 表 7.47 中 。 


表 7.47 硬盘 NTFS_DBR 及 备份 情况 表 


NTFS_DBR NTFS_DBR 容量 
2 É 文件 系统 。 所在 山区 号 anmes ć ŠPE 。 (单位 ，MB) 
第 1 个 (C 盘 ) 
第 2 个 (D 盘 ) 
第 3 个 (E 盘 ) 


请 通过 以 下 两 种 方法 来 恢复 硬盘 中 这 3 个 逻辑 盘 的 所 有 数据 。 

【方法 一 】 

通过 建立 被 删除 的 GPT 分 区 形式 来 恢复 3 个 逻辑 盘 中 的 所 有 数据 。 温 馨 提 示 : 在 依次 
建立 3 个 GPT 分 区 时 ,“ 千 万 不 要 对 这 3 个 水 辑 盘 进 行 格式 化 ”操作 。3 个 逻辑 盘 的 GPT 分 
区 建立 好 后 ,分 别 通过 这 3 个 逻辑 盘 的 NTFS_DBR 备份 来 恢复 建立 GPT 分 区 时 被 破坏 的 
NTFS_DBR。 
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【方法 二 】 

请 根据 每 个 NTFS_DBR 所 在 扇 区 号 和 每 个 逻辑 盘 总 扇 区 数 ,计算 3 个 逻辑 盘 在 整个 硬 
盘 0 号 扇 区 3 个 MBR 分 区 表 中 的 相对 扇 区 和 总 扇 区 数 ,并 将 结果 填 和 到 表 7. 48 中 ; 将 这 3 
个 MBR 分 区 表 填 人 到 整个 硬盘 0 号 扇 区 偏 移 0X01BE—0X01ED 处 ,如 图 7. 181 FMEA. 


表 7.48 整个 硬盘 逻辑 0 号 扇 区 MBR 分 区 表 的 存储 形式 


自 举 | 开始 地 址 | 分 区 | 结束 地 址 
FER | MEAS | 标志 | (未定 义 ) | 标志 | 《未 年 多) | VINE | AMEK 
第 1 个 01BE~01CD | 80 |01|01|00| 07 |FE|FF|FF 
第 2 个 | 01CE~01DD | 00 |01|01|00| 07 |FE|FF|FF 


第 3 个 | 01IDE~01ED | 00 |01|01|00| 07 |FE|FF|FF 


Offset ü j 
000001A0 |67 20 6F 70 6 
00000180 |65 6D 00 00 0 
0000010 
00000100 


000001E0 oi 


0 00 
| O00001F0 (00 00 00 00 00 00 00 00 00 00 00 00 00 OO ss AA 
Sector 0 of 1228801 Orset BE =0 Block 


7.181 硬盘 0 号 扇 区 存放 的 3 个 MBR 分 区 表 


Ew 
sss 


g operating syst 
— em...c(1101É..H. 


7.5 某 用 户 的 计算 机 只 有 一 个 硬盘 ,硬盘 分 区 形式 为 MBR ,在 硬盘 0 号 扇 区 有 C 盘 分 区 
表 和 扩展 分 区 表 ; 在 扩展 分 区 中 建立 了 D 盘 分 区 表 和 下 盘 链 接 项 、E 盘 分 区 表 和 下 盘 链 接 项 、 
F 盘 分 区 表 ; C 盘 文 件 系统 为 FAT32, 其 他 3 个 逻辑 盘 的 文件 系统 均 为 NTFS。 用 户 在 使 用 
Ghost8. 0 安装 系统 时 ,应 该 将 系统 安装 到 C 盘 , 但 是 由 于 用 户 操作 不 慎 , 将 系统 安装 到 整个 硬 
盘 , 系 统 安装 完成 后 整个 硬盘 只 有 一 个 C 盘 分 区 ,C 盘 的 容量 是 整个 硬盘 的 总 容量 ,C 盘 的 文 
件 系统 是 FAT32( 注 : 素材 文件 名 为 zy7_5. vhd) 。 

请 使 用 两 种 方法 恢复 Ghost 前 的 D 盘 `E 盘 和 F 盘 中 的 所 有 数据 。 

【方法 一 】 

(1) WE Ghost Ñf D Æ E ÆA F AEEA 0 号 扇 区 偏 移 0X01CE—0X01FD 处 的 3 个 
MBR 分 区 表 。 

(2) 修改 Ghost 后 C 盘 的 分 区 表 和 C 盘 FAT32_DBR 中 的 总 扇 区 数 。 

用 户 做 了 下 列 操作 : 

(1) 将 该 硬盘 作为 另外 一 台 计算 机 的 辅 盘 ( 即 磁盘 1) ,在 Windows XP 操作 系统 下 ,启动 
WinHex。 

(2) 使 用 WinHex 菜单 栏 上 的 “工具 ”一 “打开 磁盘 ” ,出现 EditDisk 窗口 ,在 Edit Disk 窗 
口中 选择 “Physical Media” 下 的 Drivel; 打开 磁盘 1。 

G) 通过 NTFS_DBR 的 特征 值 ( 注 : 特征 值 为 "NTFS”, 位 于 扇 区 偏 移 3 一 6), 分 别 在 
409856 号 、778495 号 、778624 号 、1167743 号 、1167872 号 和 1423871 号 扇 区 找到 NTFS_ 
DBR。 经 审核 , 发现 778495 号 扇 区 所 存储 的 内 容 与 409856 号 扇 区 存储 的 内 容 相 同 ;而 
1167743 号 扇 区 所 存储 的 内 容 与 778624 号 扇 区 存储 的 内 容 相 同 ; 而 1423871 号 扇 区 所 存储 的 
内 容 与 1167872 号 扇 区 存储 的 内 容 相 同 。 请 将 这 3 个 逻辑 盘 的 基本 情况 填 人 到 表 7. 49 对 应 
单元 格 中 。 
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表 7.49 Ghost 前 ,硬盘 NTFS_DBR 及 NTFS_DBR 备份 所 在 硬盘 位 置 情况 表 


NTFS DBR NTFS_ DBR 
gi ia HENKES 备份 所 在 肩 区 号 RAEN 
第 2 个 NTFS 
第 3 个 NTFS 
第 4 个 NTFS 


(4) 请 根据 每 个 NTFS_DBR 所 在 扇 区 号 和 总 扇 区 数 , 计 算出 3 个 逻辑 盘 在 整个 硬盘 0 号 
扇 区 偏 移 0X01CE—0X01FD 处 的 3 个 MBR 分 区 表 , 并 分 别 将 这 3 个 MBR 分 区 表 填 人 到 
表 7. 50 相应 单元 格 中 。 


表 7.50 整个 硬盘 逻辑 0 号 扇 区 MBR 分 区 表 的 存储 形式 


自 举 | 开始 地 址 | 分 区 | 结束 地 址 
分 区 表 扇 区 偏 移 标志 | 《未 定义 ) | 标志 | (未 定义 ) H A 总 扇 区 数 
第 1 个 | olBE~olCD | oo |oljoo|joo|joB|FE|3F|58|3F|oo|jooloolcl|l4o|o6|oo 
第 2 个 | 01CE~01DD 
第 3 个 | 01DE~01ED 


第 4 个 01EE—01FD 


(5) 将 这 3 个 MBR 分 区 表 填 人 到 整个 硬盘 0 号 扇 区 偏 移 0X01CE—0X01FD 处 ,如 图 7. 182 
下 夯 线 处 。 


Offset 01234567 89ABC DEF 


000001A0 67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74 g operating syst 
00000180 65 6D 00 00 00 63 7B 9A 31 D8 ED CB 00 十 一 om. ayasa E. 
000001c0 [01 H FE 3F 58|3F 00 00 OO[DA DO 15 00| ` 


000001D0 

000001E0 

00000lF0 二 一 
Sector 0 of 1433601 


图 7.182 在 硬盘 0 号 扇 区 偏 移 0X01CE—0X01FD 处 填写 3 个 MBR 分 区 表 


(6) 由 于 Ghost 前 ,第 1 个 NTFS 开始 扇 区 号 为 409856, 由 此 可 以 推断 Ghost 前 C 盘 的 
结束 扇 区 号 为 409855。 而 C 盘 的 开始 扇 区 号 为 63, 所 以 C 盘 的 总 扇 区 数 为 409793( 在 分 区 表 
中 的 存储 形式 为 “C1 40 06 00”) ,将 第 1 分 区 表 ( 即 C 盘 的 分 区 表 ) 中 的 总 扇 区 数 由 “DA D0 15 
00”( 存 储 形式 ) 修 改 为 “Cl 40 06 00”( 存 储 形式 ) ,然后 存盘 。 

(7) 将 光标 移动 到 整个 硬盘 63 号 扇 区 , 即 C 盘 FAT32_DBR 所 在 扇 区 号 ,将 FAT32_ 
DBR 中 的 总 扇 区 数 由 “DA DO 15 00”( 存 储 形式 ) 修 改 为 “C1 40 06 00”( 存 储 形式 ); 如 图 7.183 所 
示 , 然 后 存盘 退出 WinHex. 


Offset |0 1 2 3 4 5 6 7 89ABCDE FEA 

00007E00 EB 58 90 4D 53 44 4F 53 35 2E 30 00 02 08 24 00 BX.MSD0SS.0.. 
00007E10 02 00 00 00 00 F8 00 00 3F 00 FF 00 3F 00 00 OO ... 
00007E20 [Ci 40 06 00]72 os oo oo oo 00 oo OO 02 OO 00 00 
00007E30 |01 00 06 OO 00 00 00 00 00 00 00 OO 00 00 00 OO .. 
00007E40 80 00 29 94 C3 30 14 4E 4F 20 4E 41 4D 45 20 20 1.) 
00007E50 20 20 46 41 54 33 32 20 20 20 33 C9 BE D1 BC F4| FAT32 3ÉIÑuo 

Sector 63 of 1433601 Ofset 7E00 =235 Block 1CD-1CD | Size: 


Æ 7.183 修改 FAT32_DBR 中 总 扇 区 数 


(8) 通过 计算 机 管理 中 的 硬盘 管理 功能 附加 zy7_5. vhd 后 ,可 以 看 到 恢复 出 的 3 个 逻辑 
盘 中 的 全 部 文件 。 


$, 
e..?.y.?. 
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【方法 二 】 

(1) 恢复 Ghost 前 存储 在 整个 硬盘 0 号 扇 区 偏 移 0X01CE—0X01DD 处 的 扩展 分 区 表 。 

(2) 修改 Ghost 后 C 盘 的 分 区 表 和 C # FAT32_DBR 中 的 总 扇 区 数 。 

用 户 做 了 下 列 操作 : 

(1) 一 (3) 与 【方法 一 ] 中 (1) 一 (3) 相 同 。 

(4) 通过 查找 分 区 表 所 在 扇 区 的 特征 值 ( 注 : 特征 值 为 十 六 进 制 数 “55 AA”, fF 
移 510 一 511 处 ) ,分 别 在 409728 号 .778496 号 和 1167744 号 扇 区 找到 。 经 审核 ,409728 Z 18 
区 为 扩展 分 区 表 的 开始 扇 区 号 ,而 第 3 个 NTFS_DBR 备份 所 在 扇 区 号 (所 在 扇 区 号 为 
1423871) 为 扩展 分 区 的 结束 扇 区 号 ,但 在 Windows 7 操作 系统 下 扩展 分 区 结束 扇 区 号 要 比 最 
后 一 个 逻辑 盘 结 束 扇 区 多 4096 FHK; 所 以 扩展 分 区 所 占 扇 区 号 范围 为 409728—1427967 
总 扇 区 数 为 1018240( 在 分 区 表 中 的 存储 形式 为 “80 89 OF 00”) 。 根 据 扩展 分 区 表 的 开始 扇 区 
号 和 总 扇 区 数 ,将 扩展 分 区 表 填 人 到 表 7. 51 相应 单元 格 中 。 


表 7.51 整个 硬盘 逻辑 0 号 扇 区 MBR 分 区 表 的 存储 形式 


自 举 | 开始 地 址 | 分 区 | 结束 地 址 
分 区 表 扇 区 偏 移 标志 | (未 定义 ) | 标志 | (未 定义 ) 相对 扇 区 总 扇 区 数 
第 1 个 | O1BE—01CD | 00 |01|00|00| 0B |FE|3F|58|3F|00|00|00|DA|Do|15|00 
第 2 个 | 01CE~01DD 
第 3 个 | OIDE—01ED | 00 |00|00|00| o0 |oo|oo|oo|oo|oo|oo|oo|oo|oo|oo|oo 


第 4 个 01EE—01FD 00 |00|00| 00 00 |00|100 00 |00 | 00 | 00|00 | 00|00|00|00 


将 扩展 分 区 表 填 入 到 整个 硬盘 0 号 扇 区 偏 移 0X01CE—0X01DD 处 , 即 图 7. 184 对 应 下 面 
线 处 。 


Offset 0 1 7 89ABCDErF 


23456 
000001A0 67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74 g operating syst 
00000180 65 6D 00 00 00 63 7B 9A 31 D8 ED CB 00 om。 om. eu .". 
ooooo1co [01 ooJoBTFE F safar oo 00 oo[pa po 15 oof — ..b 
000001D0 二 一 二 二 一 一 二 一 一 一 一 00 00 ... E ee 

000001E0 00 00 00 00 00 00 00 00 00 00 00 OO 00 OO OO OO ... 

000001F0 (00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA 
Sector 0 of 1433601 | Offset 1BE =0 Block 


图 7.184 在 硬盘 0 号 扇 区 偏 移 0X01CE~0X01DD 处 填写 扩展 分 区 表 


(5) 由 于 Ghost 前 D 盘 分 区 表 和 下 盘 链接 项 在 409728 号 扇 区 ,由 此 可 以 推算 Ghost 前 ， 
C 盘 的 结束 扇 区 号 为 409727。 而 C 盘 的 开始 扇 区 号 为 63, 所 以 C 盘 的 总 扇 区 数 为 409665( 在 
分 区 表 中 的 存储 形式 为 "41 40 06 00”) ,将 第 1 分 区 表 中 的 总 扇 区 数 由 “DA DO 15 00”( 存 储 形 
式 ) 修 改 为 “41 40 06 00”( 存 储 形式 ) ,然后 存盘 。 

(6) 将 光标 移动 到 整个 硬盘 63 号 扇 区 , 即 C 盘 FAT32_DBR 所 在 扇 区 号 ,将 FAT32_ 
DBR 中 的 总 扇 区 数 由 “DA Do 15 00”( 存 储 形式 ) 修 改 为 “41 40 06 00”( 存 储 形式 ); 如 图 7.185 所 
示 , 然 后 存盘 并 退出 WinHex。 

(7) 通过 计算 机 管理 中 的 磁盘 管理 功能 附加 zy75. vhd 后 ,可 以 看 到 恢复 出 的 3 个 逻辑 盘 
中 的 全 部 文件 。 

7.6 某 用 户 的 计算 机 只 有 一 个 硬盘 ,在 硬盘 的 0 号 扇 区 有 4 个 分 区 表 ,4 个 分 区 表 对 应 4 
个 逻辑 盘 的 DBR 和 DBR 备份 均 已 被 破坏 。 请 恢复 第 1 个 分 区 表 所 对 应 逻辑 盘 中 的 DBR 和 
DBR 备份 ( 注 : 素材 文件 名 为 zy7_6 一 9. vhd) 。 


第 7 章 seni È 
Offset 0 1 2 3 4 5 6 7 8 9 A B C D E FE 


00007E00 EB 58 90 4D 53 44 4F 53 35 2E 30 00 02 08 24 00 BX.MSD0OSS.0...S. 

00007E10 02 00 00 00 oo F8 00 00 3F 00 FF 00 3F 00 00 00 . 

00007F20 [41 40 06 00]72 05 00 00 00 00 00 OO 02 00 00 OO Q 

00007E30 (01 00 06 OO 00 00 00 00 00 00 00 OO OO OO 00 OO . v 

00007E40 80 00 29 94 C3 30 14 4E 4F 20 4E 41 4D 45 20 20 I.)IK0.NO NAME 

00007F50 |20 20 46 41 54 33 32 20 20 20 33 C9 BE D1 BC F4  FAT32 3ÉIÑM6 
Sector 63 of 4433601 Omset 7E00 =235 Block 1CD-1CD| Stze: 


Æ 7.185 修改 FAT32_DBR 中 总 扇 区 数 


用 户 做 了 下 列 操作 ,请 根据 用 户 的 操作 将 一 些 信息 填 和 人 到 对 应 表格 或 图 中 相应 位 置 。 

(1) 将 该 硬盘 作为 另外 一 台 计 算 机 的 辅 盘 ( 即 磁盘 1) ,在 Windows XP 操作 系统 下 ,启动 
WinHex。 

(2) 使 用 WinHex 菜单 栏 上 的 “工具 ”>“ 打 开 磁 盘 ” ,出现 “EditDisk” 窗 口 , 在 “Edit Disk” 
窗口 中 选择 “Physical Media” 下 的 Drivel; 打开 磁盘 1。 

G) 磁盘 1 的 0 号 扇 区 最 后 112 字 节 内 容 如 图 7. 186 所 示 ,请 根据 0 号 扇 区 4 个 分 区 表 ， 
分 别 将 4 个 逻辑 盘 在 整个 硬盘 中 的 开始 扇 区 号 ( 即 DBR 所 在 扇 区 号 ) .结束 扇 区 号 .总 扇 区 数 
和 DBR 备份 所 在 扇 区 号 填 人 到 表 7. 52 对 应 单元 格 中 ; 将 4 个 逻辑 盘 对 应 的 文件 系统 填 人 到 
表 7. 52 对 应 单元 格 中 ( 注 : 一 般 情 况 下 ,FAT32_DBR 备份 位 于 该 分 区 的 6 号 扇 区 ,而 NTFS_ 
DBR 备份 则 位 于 该 分 区 的 最 后 一 个 扇 区 ) 。 


Offset |0 1 2 3 4 5 6 7 89AB cDE FBPA 
00000190 6E 67 20 73 79 73 74 65 6D 00 4D 69 73 73 69 6E ng system.Missin 
000001A0 67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74 g operating syst 
00000180 65 6D 00 00 00 63 7B 9A BB 2E DE EF 00 00[00 02] em...c{1».Þi. M.. 
000001c0 [o3 00[oB|pA 09 11[e0 oo oo oofoo 60 04 00] 
000001D0 [oA 11/08/99 3B 1E[60 60 04 00|00 20 03 00|05 5 引 
000001E0 [3c IE|oz[ig 2: 38/80 80 07 00|00 40 06 00|00 19 
000001F0 [22 38[07[FE 3F 4B180 CO OD 00[00 FO 04 00]55 AA "| 
| Sector 0 of 1228801 | Offset 180 =0 Block 


7.186 硬盘 0 号 扇 区 最 后 112 字 节 内 容 
表 7.52 各 逻辑 盘 在 整个 硬盘 中 的 位 置 
分 区 表 文件 系统 开始 扇 区 号 结束 扇 区 号 总 扇 区 数 DBR 备份 所 在 扇 区 号 
第 1 个 
第 2 个 
第 3 个 
第 4 个 


(4) 单独 打开 每 个 逻辑 盘 后 ,开始 扇 区 号 均 为 0, 请 将 各 逻辑 盘 单 独 打 开 后 的 结束 扇 区 号 
和 总 扇 区 数 填 人 到 表 7. 53 对 应 单元 格 中 ; 将 4 个 逻辑 盘 对 应 的 文件 系统 填 人 到 表 7. 53 对 应 
单元 格 中 ( 注 : NTFS 文件 系统 总 扇 区 数 要 比分 区 表 中 的 总 扇 区 数 少 1 个 扇 区 ) 。 


表 7.53 单独 打开 各 逻辑 盘 后 结束 扇 区 号 和 总 扇 区 数 


分 区 表 文件 系统 开始 扇 区 号 即 DBR 所 在 扇 区 号 结束 扇 区 号 总 扇 区 数 
第 1 个 0 
第 2 个 0 
第 3 个 0 
第 4 个 0 


& 大 话 数据 恢复 


(5) 将 光标 移动 到 128 号 扇 区 号 ,查找 第 1 个 FAT32 文件 系统 FAT 表 的 开始 扇 区 号 
( 注 : FAT32 文件 系统 FAT 表 的 开始 值 为 *F8FFFF”) ,在 整个 硬盘 的 7230 号 扇 区 找到 ,如 
图 7. 187 所 示 , 按 F3 键 向 下 继续 查找 ,在 7775 号 扇 区 找到 ,如 图 7. 188 所 示 。 


Offest [0 1 2 34567 8 9 A B C D E FjJZI 
00387C00 (FB FF FF OF FF FF FF FF FF FF FF OF FF FF FF OF | oyy 
00387C10 (FF FF FF OF 06 00 00 00 07 00 00 00 08 00 00 00 yyy 
00387C20 09 00 00 00 OA DO 00 00 OB 00 00 00 OC OO OO 00 .. 
00387C30 OD 00 00 00 OE 00 00 00 OF 00 00 00 10 00 00 00 
00387c40 11 00 00 00 12 00 00 OO 13 00 00 00 14 00 00 OO .... H 
Sector 7230 of 1228801 Ofset 387C1F =0| Block 387C47-3 


图 7.187 第 1 个 FAT32 文 件 系统 FATI1 表 开 始 扇 区 前 80 字 节 


Offset [0 1 2 3 4 5 67 8 9 AB C D E TFT 
DO3CBEOO F8 FF FF OF FF FF FF FF FF FF FF OF FF FF FF OF oyy.yyyyyyy.yyy. 
003CBE10 FF FF FF OF 06 00 00 00 07 00 00 00 08 00 00 00 yyy. 
003CBE20 09 DD 00 00 OA 00 00 00 OB 00 00 00 OC 00 00 00 
003CBE30 OD 00 00 00 OE DD DO 00 OF OO 00 00 10 00 00 DD 
003CBE40 11 00 00 00 12 00 00 00 13 00 00 00 14 00 OO 00 
Sector 7775 of 1228801 Onset 387C1F =0 | Block 387047-3 


7.188 第 1 个 FAT32 文 件 系统 FAT2 表 开 始 扇 区 前 80 字 节 
经 审核 ,7230 号 扇 区 为 第 1 个 FAT32 文件 系统 FATI 表 开 始 扇 区 ,7775 号 扇 区 为 FAT2 
表 开 始 扇 区 ; 请 计算 每 个 FAT KEHA FATI KA FAT? 表 结 束 扇 区 号 ,将 计算 结果 
填 和 到 表 7. 54 对 应 单元 格 中 。 
表 7.54 计算 第 1 个 FAT32 文件 系统 每 个 FAT 表 占 用 肩 区 数 
FAT1 表 FAT2 表 每 个 FAT 表 
FAAKS ARAKS 开始 肩 区 号 结束 扇 区 号 占用 扇 区 数 
7230 7775 


(6) 将 光标 移动 到 128 号 扇 区 , 即 第 1 个 FAT32 文件 系统 的 开始 扇 区 号 ,向 下 查找 第 1 
个 FAT32 文件 系统 子 目 录 的 开始 扇 区 ,在 8324 号 扇 区 找到 第 1 个 子 目录 的 开始 扇 区 号 ,如 
图 7.189 所 示 。 


Offset 0 1 2 34567 B 9 A B C€ D ÉE Fd 
00410800 _2E 20 20 20 20 20 20 20 20 20 20 10 00 BO 03 4C Ë 
00410810 CD 48 cD 48[00 00]o4 4c cp 48[03 00]oo oo oo oo thtH...LtH 
00410820 | 2E 2E 20 20 20 20 20 20 20 20 20 10 00 BO 03 4C |.. š 
00410830 CD 48 CD 48 00 00 04 4C CD 48 00 00 00 00 00 00 ÍHÍH...LÍH...... 


00410840 |41 30 30 20 20 20 20 20 54 58 54 20 18 B2 03 4C A0O TT .s.L 
Sector 8324 of 1228801 Offset 410800 =46 Block 387047-3 


Æ 7.189 第 1 个 FAT32 文 件 系 统 第 1 个 子 目录 开始 扇 区 号 前 80 字 节 


按 F3 键 继续 向 下 查找 第 2 个 子 目 录 的 开始 扇 区 号 ,在 8332 号 扇 区 找到 ,如 图 7. 190 所 
示 ; 请 将 两 个 子 目录 的 开始 复 号 填 人 到 表 7. 55 对 应 单元 格 中 。 


Offset 0 12 3 4567 89ABCDEF|7]| 
00411800 |2E 20 20 20 20 20 20 20 20 20 20 10 00 B7 03 4C | . 
00411810 CD 48 cD 48[50 05]04 4c cp 48[os 00]oo oo oo oo iHiH... 
00411820 |2E 2E 20 20 20 20 20 20 20 20 20 10 00 B7 03 4C | .. 
00411830 CD 48 CD 48 00 00 04 4C CD 48 00 00 00 00 00 OO ÍHÍH...LÍ 
00411840 30 30 30 30 20 20 20 20 20 20 20 20 00 B7 03 4C |0000 
Sector 8332 of 1228801 | Offset 4118F | =0| Block 


BI 7.190 第 1 个 FAT32 文 件 系 统 第 2 个 子 目录 开始 扇 区 号 前 80 字 节 


第 7 章 数据 恢复 D 


(7) 通过 两 个 子 目 录 开始 扇 区 号 和 开始 簇 号 ,计算 第 1 个 FAT32 X: f: # #š AE t) A P< 
数 , 将 计算 结果 填 入 到 表 7. 55 对 应 单元 格 中 。 

(8) 通过 第 1 个 FAT32 文件 系统 开始 扇 区 号 ( 即 FAT32_DBR 所 在 扇 区 号 ) 和 第 1 个 
FAT32 文件 系统 的 FAT1 表 开 始 扇 区 号 ,计算 第 1 个 FAT32 文件 系统 保留 扇 区 数 ,并 将 结果 
填 人 到 表 7. 55 对 应 单元 格 中 。 

表 7.55 计算 第 1 个 FAT32 文件 系统 每 个 簇 的 扇 区 数 
第 1 个 子 目录 第 2 个子 目录 £ A SED 
开始 肩 区 号 开始 能 号 FAAKS 开始 能 号 扇 区 数 


8324 8332 


(9) 将 第 1 个 FAT32_DBR 中 每 个 簇 的 扇 区 数 、 保 留 扇 区 数 、 隐 藏 扇 区 数 、 每 个 FAT 表 占 
用 扇 区 数 和 总 扇 区 数 填 人 到 表 7. 56 对 应 单元 格 中 ( 注 : 隐藏 扇 区 数 为 从 分 区 表 到 FAT32_ 
DBR 的 扇 区 数 ) 。 


表 7.56 第 1 个 FAT32 文件 系统 FAT32_DBR 部 分 BPB 参数 


保留 扇 区 数 


字 节 位 移 字 节 数 & x = 
十 进 制 | 十 六 进 制 存储 形式 
0X0D 1 GESU 
0XOE 2 保留 扇 区 数 
0X1C 4 隐藏 扇 区 数 
0X20 4 总 扇 区 数 
0X24 4 每 个 FAT 所 占 扇 区 数 


(10) 将 硬盘 128 号 扇 区 以 文件 的 形式 保存 ,文件 名 和 存储 位 置 自 定 , 将 同一 版 本 的 
FAT32_DBR 复制 到 硬盘 128 号 扇 区 ,并 将 计算 好 的 第 1 个 FAT32_DBR 的 部 分 BPB 参数 填 
入 到 图 7. 191 对 应 下 夯 线 处 ,将 硬盘 134 号 扇 区 以 文件 的 形式 保存 ,文件 名 和 存储 位 置 自 定 ， 
将 128 号 扇 区 复制 到 134 号 扇 区 ,然后 存盘 并 退出 WinHex, 


Offset |01234567 8 9 A B C p E FE 
00010000 (EB 58 90 4D 53 44 4F 53 35 2E 30 00 02 _ _ _ ëX.MSDOSS.0...þ. 
00010010 |02 00 00 00 00 F8 00 00 3F 00 FF 00 _ _ 一 .....0..?.y. 

00010020 o0 OO OO 00 02 OO OO OO . . 


00010030 01 00 D6 OO 0O 00 00 OO oo oo 00 OO OO 00 OO OO ... 了 
00010040 80 00 29 58 17 D8 DA 4E 4F 20 4E 41 4D 45 20 20 I.)X.QÚNO NAME 
00010050 20 20 46 41 54 33 32 20 20 20 33 C9 8E D1 BC F4 FAT32 3ÉlÑuo 
00010060 7B BE C1 BE D9 BD 00 7C 88 4E 02 8A 56 40 B4 41 {IÁIÙ%. | IN.IV@'A 
Sector 128 of 1228801 Onset 1001E =0]| Boce 


图 7.191 修改 硬盘 128 号 扇 区 第 1 个 FAT32_DBR 中 的 BPB 参数 


(11) 通过 计算 机 管理 中 的 磁盘 管理 功能 附加 zy7_6 一 9. vhd 后 ,可 以 看 到 恢复 出 的 第 1 
个 FAT32 文件 系统 所 对 应 逻辑 盘 中 的 全 部 文件 。 

7.7 如题 7.6 所 述 ,请 恢复 第 2 个 分 区 表 所 对 应 逻辑 盘 中 的 全 部 数据 。 用 户 做 了 下 列 
操作 : 

(GD) 一 (4) 与 7.6 题 (1) 一 (4) 相 同 。 

(5) 将 光标 移动 到 286848 号 扇 区 即 第 2 个 分 区 对 应 逻辑 盘 的 开始 扇 区 ,查找 第 2 个 
FAT32 文件 系统 FAT 表 的 开始 扇 区 号 OGE: FAT32 文件 系统 FAT 表 的 开始 值 为 


& 大 话 数据 恢复 


“F8FFFF”) ,在 整个 硬盘 291966 号 扇 区 找到 ,如 图 7. 192 所 示 ; 按 “F3” 键 继续 下 向 查找 ,在 


293503 号 扇 区 找到 ,如 图 7. 193 所 示 。 


Offset 0 
08E8FC00 
08E8FC10 
08E8FC20 
08E8FC30 
08E8FC40 
Sector 291966 of 1228801 


1 2 3 4567 
F8 FF FF OF FF FF FF FF 
05 00 00 00 06 00 00 00 
FF FF FF OF 11 00 00 00 
OD 00 00 00 FF FF FF OF 
FF FF FF OF 12 00 00 00 
| Ofset 


8 9ABCDEF 
63 01 00 00 FF FF FF OF 


FF FF FF OF FF FF FF OF .... 


DB 00 00 00 FF FF FF OF 


OF OO 00 00 10 OO OO OD . 


13 00 00 00 14 00 00 00 
8EBFC3F 


=0 Block 


aral 


oyy .cy 


yy 


yy 


图 7.192 第 2 个 FAT32 文 件 系统 FATI1 表 开始 扇 区 前 80 字 节 


Offset 
08E8FC00 
08E8FC10 
08E8FC20 
08E8FC30 
08E8FC40 

Sector 293503 of 122880! 


0 1 2 3 4 5 
F8 FF FF OF FF FF 
05 00 00 00 06 00 
FF FF FF OF 11 00 00 00 
OD 00 00 00 FF FF FF OF 
FF FF FF OF 12 00 00 00 
Onset 


[S i 
FF FF 
00 00 


8 9ABCDEF 
63 01 00 00 FF FF FF OF 
FF FF FF OF FF FF FF OF 
OB 00 00 00 FF FF FF OF 


OF 00 00 00 10 00 OO OO ..... 


13 00 00 00 14 00 00 00 
8F4FE00 


=248| Block 


Ez 


oy .yyyyc 


yy. 


yy 


图 7.193 第 2 个 FAT32 文 件 系统 FAT2 表 开 始 扇 区 前 80 字 节 


经 审核 ,291966 号 扇 区 和 293503 号 扇 区 分 别 为 第 2 个 FAT32 文件 系统 的 FAT1 KA 
FAT2 RIAK; 计算 每 个 FAT 表 占 用 扇 区 数 .FAT1 RA FAT? 表 结 束 扇 区 号 ,并 将 计 


算 结果 填 人 到 表 7. 57 对 应 单元 格 中 。 


表 7.57 计算 第 2 个 FAT32 文件 系统 每 个 FAT 表 占 用 扇 区 数 


FAT1 表 


FAT2 表 


每 个 FAT 表 


开始 扇 区 号 结束 扇 区 号 


开始 扇 区 号 


结束 扇 区 号 


所 占 扇 区 数 


291966 


293503 


(6) 将 光标 移动 到 286848 号 扇 区 即 第 2 个 FAT32 文件 系统 的 开始 扇 区 号 ,向 下 查找 第 2 
个 FAT32 文件 系统 子 目 录 的 开始 扇 区 号 ,在 295041 号 扇 区 找到 ,如 图 7. 194 所 示 。 

按 “F3” 键 ,继续 向 下 查找 第 2 个 子 目录 的 开始 扇 区 号 ,在 295046 号 扇 区 找到 ,如 图 7. 195 
所 示 ; 请 将 两 个 子 目录 的 开始 簇 号 填 和 人 到 表 7. 58 对 应 单元 格 中 。 


Offset |0 1 2 3 4 5 6 7 
09010200 |2E 20 20 20 20 20 20 20 
09010210 | cD 48 cD 48[00 00] 34 4C 
09010220 |2E 2E 20 20 20 20 20 20 
09010230 | cD 48 CD 48 00 00 34 4C 


Sector 295041 of 1228801 Onset 


8 9ABCDEF 


20 20 20 10 00 41 33 4C. š 
cp 48[03_00] 00 00 oo 00 iHiH..aLiH.....H 
20 20 20 10 00 41 33 4C .. 


CD 48 00 00 00 00 00 00 tHiH..4LiH...... 


901021F 


=0| Block 


901021F -90 


图 7.194 第 2 个 FAT32 文 件 系 统 第 1 个 子 目录 开始 扇 区 号 前 64 字 节 


Offset |0 1 2 3 4 5 6 7 
09010C00 |2E 20 20 20 20 20 20 20 
09010C10 ‘cp 48 cD 48[00 00]34 4c 
09010C20 |2E 2E 20 20 20 20 20 20 
09010c30 CD 48 CD 48 00 00 34 4C 


Sector 295046 of 1228801 | Offset 


8 9 ABCDEF 


20 20 20 10 00 49 33 4C | . 


cp 48[08 oo]oo oo oo oo 


20 20 20 10 00 49 33 4c . 


CD 48 00 00 00 00 00 00 
9010C1F| 


=0 | Block 


“本 
ÍHÍH. .4LÍH.... .| | 
..I3L 

tt .4Lt8. 
901021F-% 


7.195 第 2 个 FAT32 文 件 系 统 第 2 个 子 目 录 开 始 扇 区 号 前 64 字 节 


(7) 通过 两 个 子 目录 开始 扇 区 号 和 开始 簇 号 ,计算 第 2 个 FA T32 文件 系统 每 个 簇 的 扇 区 
数 ,将 计算 结果 填 人 到 表 7. 58 对 应 单元 格 中 。 
(8) 通过 第 2 个 FAT32 文件 系统 开始 扇 区 号 ( 即 FAT32_DBR 所 在 扇 区 号 ) 和 第 2 个 


第 7 章 数据 恢复 Q 


FAT32 文件 系统 FAT1 表 开始 扇 区 号 ,计算 第 2 个 FAT32 文件 系统 保留 扇 区 数 , 并 将 结果 填 
ARIK 7. 58 对 应 单元 格 中 。 


表 7.58 计算 第 2 个 FAT32 文件 系统 每 个 簇 的 扇 区 数 
第 1 个子 目录 第 2 个 子 目录 £ A EB 
开始 肩 区 号 开始 能 号 FAAKS 开始 能 号 扇 区 数 


295041 295046 


(9) 将 第 2 个 FAT32_DBR 中 每 个 簇 的 扇 区 数 、 保 留 扇 区 数 、 隐 藏 读 区 数 、 每 个 FAT 表 占 
用 扇 区 数 和 总 扇 区 数 填 人 到 表 7. 59 对 应 单元 格 中 。 


表 7.59 第 2 个 FAT32 文 件 系统 FAT32_DBR 部 分 BPB 参数 


保留 扇 区 数 


字 节 位 移 | 字 节 数 & AX z 
十 进 制 | 十 六 进 制 存储 形式 
0X0D 1 AKA 
0X0E 2 GELES 
0X1C 4 隐藏 扇 区 数 
0X20 4 总 扇 区 数 
0X24 4 每 个 FAT 所 占 扇 区 数 


(10) 将 286848 号 扇 区 以 文件 的 形式 保存 ,存储 文件 名 和 位 置 自 定 ,将 同一 版 本 的 
FAT32_DBR 复制 到 286848 号 扇 区 ,并 将 计算 好 的 第 2 个 FAT32_DBR 的 BPB 参数 填 人 到 
图 7.196 对 应 下 夯 线 处 ,将 286854 号 扇 区 以 文件 的 形式 保存 ,存储 文件 名 和 位 置 自 定 , 将 
286848 号 扇 区 复制 到 286854, 然 后 存盘 并 退出 WinHex, 


Offset 01234567 89ABCD EE FBZ 


DBC10000 (EB 58 90 4D 53 44 4F 53 35 2E 30 00 02 _ _ —  šX.MSD0SS.0...b. 
08C10010 02 00 00 00 00 F8 00 00 3F 00 FF 00 L a .....0..?.y.1.E. 
08¢10020 00 00 00 00 02 00 00 OO . 


osc10030 ,mi 00 06 OO OO 00 00 00 oo o0 OO OO OO OO OO OO .. S 
08C10040 80 00 29 58 17 D8 DA 4E 4F 20 4E 41 4D 45 20 20 1.)X.0ÚNO NAME 
08C10050 20 20 46 41 54 33 32 20 20 20 33 C9 8E D1 BC F4| FAT32 3ÉIÑMO 
08C10060 7B 8E C1 BE D9 BD 00 7C 88 4E 02 BA 56 40 B4 41 {1Á1Ù⁄. | IN. IV@'A 
Sector 286848 of 1228801 Ofset 1001E =0| Block: 


图 7.196 修改 硬盘 286848 号 扇 区 第 2 个 FAT32_DBR 中 的 BPB 参数 


AD 通过 计算 机 管理 中 的 磁盘 管理 功能 附加 zy7_6 一 9. vhd 后 ,可 以 看 到 恢复 出 的 第 2 
个 FAT32 文件 系统 所 对 应 逻辑 盘 中 的 全 部 文件 。 

7.8 如 题 7.6 所 述 , 请 恢复 第 3 个 分 区 表 ( 即 第 1 个 NTFS 文件 系统 ) 所 对 应 逻辑 盘 中 的 
全 部 数据 。 用 户 做 了 下 列 操作 : 

() 一 (4) 与 7.6 题 中 (1) 一 (4) 相 同 。 

(5) 将 光标 移动 到 491648 号 扇 区 , 即 第 1 个 NTFS 文件 系统 的 开始 扇 区 号 ,向 下 查找 第 1 
个 NTFS 文件 系统 元 文件 $MET 或 $MFTMirr 的 0 号 记录 ,在 491664 号 扇 区 找到 ,其 0 号 
记录 80H 属性 和 BOH 属性 值 如 图 7. 197 所 示 。 

(6) 将 光标 移动 到 491666 号 扇 区 , 即 元 文件 $MFT sk $ MFTMirr 的 1 号 记录 ,其 记录 
的 80H 属性 如 图 7. 198 所 示 。 

(7) 根据 元 文件 $ MFT 或 $ MFTMirr 的 0 号 记录 80H 属性 或 BOH 属性 计算 第 1 个 


& 大 话 数据 恢复 


Offset | 0 1 2 3 4 S 6 7 8 9 AB C D E F| | 

OF012100 80 00 00 00 48 00 00 00 01 00 40 00 00 00 01 00 1 

DOF012110 00 00 OO OO OO OO 00 00 FF 01 00 00 OO OO OO 00 

OF012120 40 00 00 00 00 00 00 00 00 00 20 00 00 00 00 00 

0F012130 00 00 20 00 00 00 oo 00 00 00 20 OO OO 00 00 OO .. .. 

0F012140 BO 00 00 00 50 OO OO 00 

OF012150 01 00 40 OO 00 OO 05 OO 00 00 00 OD OO OD 00 00 

OF012160 01 00 00 OO OO OO 00 OO 40 00 00 00 00 OO OO 00 

OF012170 00 20 00 00 00 00 00 OO 08 10 00 00 OO OO 00 00 

OF012180 08 10 00 OD 00 OO OO OD 21 01 A9 42 21 01 FD FD 

0F012190 0000 01 0000 60 54 8D FF FF FF FF OO OO OO OO .. 

Secor 491664 of 1228801 | Offset F01211F | =0]| Bh 

7.197 第 1 个 NTFS 元 文件 $MFT 或 $ MFTMirr 的 0 号 记录 80H 属性 和 BOH 属性 

Offset D 1 2 3 4 5 6 7 B 9 A B C D E F |E2 

OF012500 72 00 00 00 00 00 00 00 80 00 00 00 48 00 00 OO r....... EL 
OF012510 01 00 40 00 00 00 01 00 00 00 00 OO OO OO OO 00 ..@ 

0F012520 00 00 00 00 00 00 00 00 40 00 00 00 OO OO OO OO . 

0F012530 oo 10 00 00 OO OO 00 OO . 

OF012540 00 10 00 00 OO 00 00 00 š 

Sector 491666 of 1228801 | Offset F01252F | = 0 | Block: 


图 7.198 第 1 个 NTFS 元 文件 $MFT 或 $MFTMirr 的 1 号 记录 80H 属性 


NTFS 文件 系统 每 个 秘 的 扇 区 数 ,从 0 号 记录 80H 属性 中 的 数据 运行 列表 获得 元 文件 $ MFT 
的 开始 徐 号 ,从 1 号 记录 80H 属性 中 的 数据 运行 列表 获得 元 文件 $ MFTMirr 的 开始 簇 号 。 
从 第 1 个 NTFS 文 件 系 统 所 对 应 的 分 区 表 中 获得 隐藏 扇 区 数 和 总 扇 区 数 。 并 将 每 个 簇 的 扇 
区 数 、 隐 藏 扇 区 数 .总 扇 区 数 . 元 文件 $MFT 的 开始 簇 号 、 元 文件 $MFTMirr 的 开始 簇 号 ,元 
文件 $ MFT 记录 大 小 描述 和 索引 节点 大 小 描述 填 和 人 到 表 7. 60 对 应 单元 格 中 ( 注 : 分 区 表 中 
存储 的 总 扇 区 数 要 比 NTFS_DBR 中 存储 的 总 扇 区 数 多 1 个 扇 区 ) 。 


表 7.60 第 1 个 NTFS_DBR 部 分 BPB 参数 


字 节 | 字 节 P t 

位 移 | 数 十 进 制 “| 十 六 进 制 存储 形式 
0X0D| 1 | 扇 区 数 / 簇 

0X1C| 4 | KARUN E Z 

0X28 | 8 | 总 扇 区 数 

0X30| 8 | 元 文件 $MFT FRES 

0X38 8 | 元 文件 $ MFTMirr 开始 能 号 

0X40 | 1 | $ MFT 每 条 记录 大 小 描述 

0X44 | 1 | 每 个 索引 节点 大 小 描述 


(8) 请 判断 491664 一 491667 号 扇 区 存储 的 这 两 条 记录 是 属于 元 文件 $MFT 还 是 元 文件 
$ MFTMirr 的 0 号 记录 和 1 号 记录 ? 为 什么 ? 

(9) 将 491648 号 扇 区 以 文件 的 形式 保存 ,文件 名 和 存储 位 置 自 定 , 将 同一 版 本 的 NTFS_ 
DBR 复制 到 硬盘 491648 号 扇 区 ,并 将 计算 好 的 第 1 个 NTFS_DBR 的 BPB 参数 填 人 到 
图 7. 199 对 应 下 画 线 处 ,然后 存盘 并 退出 WinHex, 

(10) 通过 计算 机 管理 中 的 磁盘 管理 功能 附加 zy7_6 一 9. vhd 后 ,可 以 看 到 恢复 出 的 第 1 
个 NTFS 文 件 系统 所 对 应 逻辑 盘 中 的 全 部 文件 。 

7.9 如 题 7.6 所 述 , 请 恢复 第 4 个 分 区 表 ( 即 第 2 个 NTFS 文件 系统 ) 所 对 应 逻辑 盘 中 的 
全 部 数据 。 用 户 做 了 下 列 操作 : 

() 一 (4) 与 7.6 题 中 (1) 一 (4) 相 同 。 


Offset 
0F010000 
0F010010 
0F010020 
0F010030 


D 3 2 3 4 5 6 7 
EB 52 90 4E 54 46 53 20 
00 00 00 00 00 F8 00 00 
00 00 00 00 80 00 80 00 


oF010040 — 00 00 00 — 00 00 00 
0F010050 ‘00 00 00 00 FA 33 CO 8E 
Sector 491648 of 1228801 | Ofset F010000 


89 A BC 
20 20 20 00 02 _ 
3F 00 FF 00 


0i B7 92 66 C6 92 š 
DO BC 00 7C FB 68 CO 07 .. 


=235| Block 


|bA. 
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7.199 修改 硬盘 491648 号 扇 区 第 1 个 NTFS_DBR 中 BPB 参数 


(5) 将 光标 移动 到 901248 Z Bj X , 即 第 2 个 NTFS 文件 系统 的 开始 扇 区 号 ,向 下 查找 第 2 
个 NTFS 文 件 系统 元 文件 $MFT 或 $MFTMirr 的 0 号 记录 ,在 901264 号 扇 区 找到 ,其 记录 
的 80H 属性 和 BOH 属性 值 如 图 7. 200 所 示 。 


Offset 
18812100 
18812110 
18812120 
18812130 
18812140 
18812150 
18812160 
18812170 


1B812180 [08 10 00 00 00 00 00 00 | 21 01 A9 34 21 01 FD FD]. 
18812190 (00 00 01 00 00 60 54 6D FF FF FF FF 00 00 00 OO L 
Sector 901264 of 1228801 


0 1 2 
80 00 00 00 48 Ol 


3 4 5 

0 

00 00 00 00 00 00 
0 

0 


01 00 40 00 00 00 05 00 00 00 
01 00 00 00 00 00 00 00 40 00 Ol 


0 
00 
0 


00 20 00 00 00 00 00 00 08 10 00 O! 


| Ofset 


1881212F | 


c 
00 
00 
00 
00 
50 
00 
00 
00 


oo 00 00 . 


=0| Block 


图 7.200 第 2 个 NTFS 元 文件 $MFT 或 $MFTMirr 的 0 号 记录 80H 属性 和 BOH 属性 


(6) 将 光标 移动 到 901266 号 扇 区 , 即 元 文件 $MEFT 或 $MFTMirr 的 1 号 记录 ,其 记录 
的 80H 属性 如 图 7.201 所 示 。 


图 7.201 


Offset 
1B812500 
1B812510 
1B812520 
1B812530 
1B812540 


Sector 901266 of 1228801 


| Ofset 


1B81252F | 


第 2 个 NTFS 文 件 系统 元 文件 $MFT 或 $ MFTMirr 的 1 号 记录 80H 属性 


(7) 请 根据 元 文件 $ MFT 或 $MFTMirr 的 0 号 记录 80H 属性 或 BOH 属性 计算 第 2 个 
NTFS 文件 系统 每 个 簇 的 扇 区 数 , 从 0 号 记录 80H 属性 中 的 数据 运行 列表 获得 元 文件 $ MFT 


开始 簇 号 ,从 1 号 记录 80H 属性 中 的 数据 运行 列表 获得 元 文件 $ MFTMirr FRG 


从 第 2 


A NTFS 文件 系统 所 对 应 的 分 区 表 中 获得 隐藏 扇 区 数 和 总 扇 区 数 。 并 将 每 个 簇 的 扇 区 数 、 隐 
藏 扇 区 数 ,总 扇 区 数 、 元 文件 $MFT 的 开始 簇 号 、 元 文件 $MFTMirr 的 开始 簇 号 ,元 文件 
$ MFT 记录 大 小 描述 和 索引 节点 大 小 描述 填 人 到 表 7.61 对 应 单元 格 中 。 


表 7.61 第 2 个 NTFS_DBR 部 分 BPB 参数 
字 节 | 字 节 2 t 
位 移 | 数 十 进 制 “| 十 六 进 制 存储 形式 
0X0D| 1 | HEKA 
0X1C| 4 | 隐藏 扇 区 数 
0X28 | 8 | XAK 
0X30 | 8 | 元 文件 $ MFT FRES 
0X38 | 8 | 元 文件 $ MFTMirr 开始 簇 号 
0X40 | 1 | $ MFT 每 条 记录 大 小 描述 
0X44 | 1 | 每 个 索引 节点 大 小 描述 
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(8) 将 901248 号 扇 区 以 文件 的 形式 存储 ,文件 名 和 存储 位 置 自 定 , 将 同一 版 本 的 NTFS_ 
DBR 复制 到 硬盘 901248 号 扇 区 ,并 将 计算 好 的 第 2 个 NTFS_DBR 部 分 BPB 参数 填 人 到 
图 7. 202 对 应 下 画 线 处 ,然后 存盘 并 退出 WinHex, 


Offset |0 1 2 3 4 5 6 7 B 9 A B C DE FE 
1B010000 EB 52 90 4E 54 46 53 20 20 20 20 00 02 _ 00 00 eRNIFS  ..... 
1B010010 00 00 00 00 00 F8 00 00 3F 00 FF 00 _ _ _ _ ... 
1B810020 00 00 00 OO 80 OO 80 OD 
asta === = === = 
1B810040 — 00 00 00 — 00 00 00 0i B7 92 66 C6 92 66 86 ö.. $ 
18810050 00 00 00 00 FA 33 CO 8E DO BC 00 7C FB 68 CO 07 ....ú3K1BM.|ühÀ. 
Sector 901248 of 1228801 omset F010000 =235 | Block 


图 7. 202 修改 硬盘 901248 号 扇 区 第 2 个 NTFS_DBR 中 BPB 参数 


(9) 通过 计算 机 管理 中 的 磁盘 管理 功能 附加 zy7_6 一 9. vhd 后 ,可 以 看 到 恢复 出 的 第 2 个 
NTFS 文件 系统 所 对 应 逻辑 盘 中 的 全 部 文件 。 

( 题 7. 10 一 题 7. 16 为 实际 操作 题 ) 

7.10 某 用 户 的 计算 机 安装 了 两 个 硬盘 ,第 2 个 硬盘 ( 即 磁盘 1) 的 0 号 扇 区 有 2 个 分 区 
表 , 第 1 个 分 区 表 对 应 盘 符 为 G 盘 , 文 件 系 统 为 FAT32。 在 Windows XP 操作 系统 下 ,由 于 用 
户 操作 不 慎 , 将 G 盘 格 式 化 成 NTFS, 要 求 恢复 格式 化 前 G 盘 中 的 数据 ( 注 : 素材 文件 名 为 
zy7_10—11. vhd) 。 

【恢复 格式 化 前 G 盘 中 数据 的 基本 思路 】 

(1) 修改 第 1 个 分 区 表 MBR 中 的 分 区 标志 。 

(2) 恢复 格式 化 前 G 盘 的 FAT32_DBR 。 

7.11 如 7.10 题 所 述 ,第 2 个 硬盘 第 2 个 分 区 表 对 应 盘 符 为 H 盘 , 文 件 系统 为 NTFS。 
在 Windows XP 操作 系统 下 ,由 于 用 户 操 作 不 慎 , 将 H 盘 格 式 化 成 FAT32, 要 求 恢 复 格 式 化 
前 H 盘 中 的 数据 ( 注 : 素材 文件 名 为 zy7_10 一 11. vhd) 。 

【恢复 格式 化 前 H 盘 中 数据 的 基本 思路 】 

(1) 修改 第 2 个 分 区 表 MBR 中 的 分 区 标志 。 

(2) 恢复 格式 化 前 H 盘 的 NTFS_DBR 。 

7.12 某 用户 的 U 盘 0 号 扇 区 只 有 1 个 MBR 分 区 表 , 对 应 的 文件 系统 为 FAT32。 由 于 
其 他 原因 导致 U 盘 0 S X, FAT32_DBR 和 FAT32_DBR 备份 遭 到 破坏 ,请 使 用 两 种 方法 
来 恢复 U 盘 中 的 全 部 文件 ( 注 : 素材 文件 名 为 zy7_12. vhd) 。 

【恢复 数据 的 基本 思路 (一 )】 

(1) 估算 U 盘 FAT32_DBR 所 在 扇 区 号 。 

(2) 恢复 U 盘 FAT32_DBR 。 

(3) 恢复 U # 0 号 扇 区 的 MBR 分 区 表 。 

【恢复 数据 的 基本 思路 (二 )】 

恢复 U 盘 0 号 扇 区 的 FAT32_DBR , 即 该 U 盘 没 有 分 区 表 , 将 FAT32_DBR 存放 在 U 盘 
的 0 BC, 

7.13 某 用 户 U 盘 0 号 扇 区 只 有 1 个 MBR 分 区 表 , 对 应 的 文件 系统 为 FAT32。 由 于 其 
他 原因 导致 U 盘 0 号 扇 区 .FAT32_DBR、FAT32_DBR 备份 和 FATI 表 遭 到 破坏 ; 请 恢复 
FAT1 表 .FAT32_DBR 、FAT32_DBR 备份 和 癌 盘 0 号 扇 区 的 MBR 分 区 表 ( 注 : 素材 文件 名 
为 zy7_13. vhd) 。 
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【恢复 数据 的 基本 思路 (一 )】 

(1) 通过 U 盘 FAT2 表 恢 复 FAT1 表 。 

(2) 估算 U 盘 FAT32_DBR 所 在 扇 区 号 。 

(3) 恢复 口 盘 FAT32_DBR。 

(4) 恢复 UU # 0 号 扇 区 的 MBR 分 区 表 。 

【恢复 数据 的 基本 思路 (二 )】 

(1) 通过 U 盘 FAT2 表 恢 复 FAT1 K. 

(2) 恢复 U # 0 号 扇 区 的 FAT32_DBR , 即 该 U 盘 没有 分 区 表 , 将 FAT32_DBR 存放 在 
UD 盘 0 号 扇 区 。 

7.14 某 用 户 的 移动 硬盘 0 号 扇 区 只 有 1 个 MBR 分 区 表 , 对 应 的 文件 系统 为 NTFS。 由 
于 其 他 原因 导致 移动 硬盘 0 号 扇 区 和 NTFS_DBR 遭 到 破坏 ,而 NTFS_DBR 备份 完好 ,请 恢 
复 NTFS_DBR 和 移动 硬盘 0 号 扇 区 中 的 MBR 分 区 表 ( 注 : 素材 文件 名 为 zy7_14. vhd) 。 

【恢复 数据 的 基本 思路 】 

(1) 通过 NTFS_DBR 备份 来 确定 NTFS_DBR 所 在 扇 区 号 并 恢复 NTFS_DBR。 

(2) 通过 NTFS_DBR 所 在 扇 区 号 和 总 扇 区 数 计算 存储 在 移动 硬盘 0 号 扇 区 的 MBR 分 
区 表 , 并 恢复 硬盘 0 号 扇 区 的 MBR 分 区 表 。 

7.15 某 用 户 的 移动 硬盘 0 号 扇 区 只 有 1 个 MBR 分 区 表 , 对 应 的 文件 系统 为 NTFS。 由 
于 其 他 原因 导致 移动 硬盘 0 号 扇 区 .NTFS_DBR NTFS_DBR 备份 遭 到 破坏 ,请 恢复 NTFS_ 
DBR 和 0 号 扇 区 的 MBR 分 区 表 ( 注 : 素材 文件 名 为 zy7_15. vhd) 。 

【恢复 数据 的 基本 思路 (一 )】 

(1) ÆR XIF $ MFT 或 $MFTMirr 的 0 号 记录 ,通过 元 文件 $MFT 或 $ MFTMirr 
的 0 号 记录 80H 属性 获得 元 文件 $ MET 开始 簇 号 ,并 计算 每 个 徐 的 扇 区 数 ,通过 每 个 簇 的 扇 
区 数 获得 元 文件 $ MFT 每 条 记录 大 小 描述 和 索引 节点 大 小 描述 。 

(2) 将 光标 移动 到 元 文件 $MFT 或 $MFTMirr 的 1 号 记录 ,通过 元 文件 $MFT 或 
$ MFTMirr 的 1 号 记录 80H 属性 获得 元 文件 $ MFTMirr 开始 簇 号 。 

(3) 通过 比较 元 文件 $MFT 和 $MFTMirr 开始 簇 号 ,最 终 确 定 查找 到 的 是 元 文件 
$ MFT 还 是 元 文件 $ MFTMirr, 并 记录 下 元 文件 $MFT 或 者 元 文件 $MFTMirr JF ih 
区 号 。 

(4) 通过 每 个 篮 的 扇 区 数 .元 文件 $MFT 或 $ MFTMirr 开始 复 号 和 开始 扇 区 号 ,计算 出 
元 文件 $ Boot 在 移动 硬盘 中 的 开始 扇 区 号 ( 即 NTFS_DBR 在 移动 硬盘 中 的 扇 区 号 ) 。 

(5) 查找 元 文件 $ MFT 的 8 号 记录 , 即 元 文件 $ BadClus 所 在 记录 ,从 元 文件 $ MFT 的 
8 号 记录 80H 属性 获得 NTFS 文件 系统 最 后 一 个 簇 号 ,并 计算 NTFS 总 扇 区 数 。 

(6) 将 同一 版 本 的 NTFS_DBR 复制 到 NTFS_DBR 所 在 扇 区 号 ,并 修改 每 个 簇 的 扇 区 
数 ,总 扇 区 数 .元 文件 $ MFT 开始 簇 号 、 元 文件 $ MFTMirr 开始 簇 号 、 元 文件 $ MFT 记录 大 
小 描述 和 索引 节点 大 小 描述 这 6 个 参数 。 

(7) 通过 NTFS_DBR 所 在 扇 区 号 和 总 扇 区 数 , 计 算出 存储 在 移动 硬盘 0 号 扇 区 的 MBR 
分 区 表 ; 恢复 移动 硬盘 0 号 扇 区 的 MBR 分 区 表 。 

【恢复 数据 的 基本 思路 (二 )】 

A) 查找 元 文件 $ MFT 或 $MFTMirr 的 0 号 记录 ,通过 元 文件 $MFT 或 $ MFTMirr 
的 0 号 记录 80H 属性 获得 元 文件 $ MFT 开始 簇 号 ,并 计算 每 个 簇 的 扇 区 数 ,假设 每 个 簇 的 遍 
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区 数 为 X。 

(2) 将 光标 移动 到 元 文件 $MFT 或 $MFTMirr 的 1 号 记录 ,通过 元 文件 $MFT 或 
$MFTMirr 的 1 号 记录 80H 属性 获得 元 文件 $ MF TMirr 开始 簇 号 。 

(3) 通过 比较 元 文件 $MFT 和 $MFTMirr 开始 簇 号 ,最 终 确定 查找 到 的 是 元 文件 
$ MFT 还 是 元 文件 $ MFTMirr。 并 记录 下 元 文件 $ MFT 或 者 元 文件 $MFTMirr 开始 扇 
区 号 。 

(4) 通过 每 个 簇 的 扇 区 数 、 元 文件 $ MFT 或 $ MFTMirr 开始 簇 号 和 开始 扇 区 号 ,计算 出 
元 文件 $ Boot 在 移动 硬盘 中 的 开始 扇 区 号 ( 即 NTFS_DBR 在 移动 硬盘 中 的 扇 区 号 ) ,假设 元 
文件 $ Boot 的 开始 扇 区 号 为 了 。 

(5) 查找 元 文件 $ MFT 的 8 号 记录 , 即 元 文件 $ BadClus 所 在 记录 ,从 元 文件 $ MFT 的 
8 号 记录 80H 属性 获得 NTFS 文件 系统 最 后 一 个 簇 号 ,并 计算 NTFS 总 扇 区 数 ; 通过 NTFS 
总 扁 区 数 计算 出 该 逻辑 盘 ( 卷 ) 的 容量 ,假设 该 逻辑 盘 ( 卷 ) 的 容量 为 Zo 

(6) 通过 Windows 7 的 虚拟 磁盘 管理 功能 创建 一 个 虚拟 硬盘 文件 ,假设 文件 名 为 abed 
.vhd, 虚 拟 文件 大 小 略 大 于 Z; 附加 abcd. vhd 虚拟 硬盘 文件 ,初始 化 为 MBR 并 建立 一 个 分 
区 ,分 区 大 小 为 Z, 对 该 分 区 进行 快速 格式 化 ,文件 系统 选择 NTFS, 每 个 簇 的 扁 区 数 选择 X; 
分 离 该 虚拟 硬盘 。 

(7) 使 用 WinHex 软件 打开 abcd. vhd 虚拟 硬盘 文件 并 映像 为 磁盘 ,将 该 文件 的 0 号 扇 区 
以 文件 的 形式 存储 ,假设 文件 名 为 0. vhd; 通过 分 区 表 获 得 该 分 区 的 开始 扇 区 号 ,将 该 分 区 的 
开始 扇 区 以 文件 的 形式 存储 ,假设 文件 名 为 NTFS_DBR. vhd。 

(8) 使 用 WinHex 软件 打开 zy7_15. vhd 虚拟 硬盘 文件 并 映像 为 磁盘 ,将 0. vhd 文件 内 容 
复制 到 该 虚拟 硬盘 的 0 号 扇 区 ,然后 存盘 ; 将 NTFS_DBR. vhd 内 容 复制 到 该 虚拟 硬盘 Y 号 
扇 区 ,然后 存盘 。 

(9) 通过 NTFS_DBR 所 在 扇 区 号 和 总 扇 区 数 ,计算 出 存储 在 移动 硬盘 0 号 扇 区 的 MBR 
分 区 表 ; 恢复 移动 硬盘 0 号 扇 区 的 MBR 分 区 表 。 

7.16 用 户 的 移动 硬盘 0 号 扇 区 只 有 1 个 MBR 分 区 表 , 对 应 的 盘 符 为 1 盘 ,I 盘 的 文件 系 
统 为 NTFS; 在 Windows 7 操作 系统 下 ,由 于 用 户 操 作 不 慎 将 其 快速 格式 化 成 NTFS; 请 恢复 
快速 格式 化 前 I 盘 中 的 数据 ( 注 : 素材 文件 名 为 zy7_16. vhd) 。 

提示 : 

(1) 使 用 WinHex 打开 zy7_16. vhd 文件 并 映像 为 磁盘 ,由 于 快速 格式 化 后 ,I 盘 元 文件 
$ MFT 只 有 255 记录 ,将 光标 移动 到 I 盘 元 文件 $MFT 的 255 号 记录 ( 即 683176 号 扇 区 ) 
处 ,向 下 查找 元 文件 $ MFT 文件 夹 记录 的 AOH 属性 或 者 元 文件 $ MFT 文件 记录 80H 非常 
驻 属性 。 

(2) 通过 文件 夹 记录 的 AoH 属性 或 文件 记录 的 80H 属性 相关 参数 ,计算 快速 格式 化 前 I 
盘 每 个 徐 的 扇 区 数 ( 即 分 配 单 元 ) ,假设 快速 格式 前 1 盘 每 簇 的 扇 区 数 为 X, 退 出 WinHex, 

(3) 在 Windows 7 操作 系统 下 ,对 工 盘 再 次 进行 快速 格式 化 操作 ,每 个 徐 的 扇 区 数 选 
# x. 

(4) 其 余 操 作 请 参照 7. 6. 4 节 例 7.24. 
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图 书 资源 支持 


感谢 您 


直 以 来 对 清华 版 图 书 的 支持 和 爱护 。 为 了 配合 本 书 的 使 用 ,本 书 


提供 配套 的 资源 ,有 需求 的 读者 请 扫描 下 方 的 “ 书 圈 " 微 信 公 众 号 二 维 码 , 在 图 


书 专 


如 果 您 在 


也 请 您 发 邮件 


我 们 的 联 
地 址 
邮 编 


电 w 


资源 下 载 


电子 邮件 


区 下 载 ,也 可 以 拨打 电话 或 发 送 电子 邮件 咨询 。 


使 用 本 书 的 过 程 中 遇 到 了 什么 问题 ,或 者 有 相关 图 书 出 版 计划 ， 
告诉 我 们 ,以 便 我 们 更 好 地 为 您 服务 。 


系 方式 : 


: 北京 市 海淀 区 双 清 路 学 研 大 厦 A 座 707 


: 100084 资源 下 载 、 样 书 申请 
: 010 — 62770175 — 4520 


: http://www. tup. com. cn 


: huangzh@ tup. tsinghua. edu. cn 


QQ: 81283175( 请 写 明 您 的 单位 和 姓名 ) 


用 微 信 扫 


一 扫 右 边 的 二 维 码 , 即 可 关注 清华 大 学 出 版 社 公众 号 “ 书 圈 ”。 


